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(57) Abstract 

The invention concerns the pro- 
tection of several types of software 
against unauthorised use, consisting in 
an apparatus (licence card reader LCR) 
for simultaneously protecting several 
types of software of several software 
designers and comprising at least one 
communication peripheral (network, I/S 
port), a microcontroller programmable 
only once which integrates on the same 
silicon chip two parts separated by an 
interface. The integrated circuit is log- 
ically and physically protected against 
all attempts of unauthorised intrusion. 
The invention also concerns a portable 
apparatus of relatively small size with 
respect to the chip card connected for 

its use with the LCR apparatus, comprising at least a detachable recording module with high storage capacity, a microcontroller made 
secure against all attempts at unauthorised intrusion into its internal circuits. Thus the invention provides protection for several types of 
software independently of their editors with a single apparatus. 
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(57) Abrcge* 

La presente invention conceme la protection de logiciels contre leurs utilisations non autorisees. Appareil (lecteur LCL) permettant la 
protection simultanee de plusieurs logiciels de diffdrents concepteurs de logiciels et comprenant au moins un penphenque de communication 
(reseau, port E/S), un microcontroleur programmable une seule fois qui integre sur une meme pastille de silicium deux parties separees 
par une interface. Le circuit intfigre' est protdgd logiquement et physiquement contre toutes tentatives dMntrusion non autorisees. Appareil 
portatif de petite taille par rapport a une cane a puces rattachd dans son utilisation a 1'appareil LCL. II constitue avec l'appareil LCL ie 
deuxieme el6ment de la prdsente invention. II comprend au moins un module d'enregistrement amovible de fortes capacites de stockage, un 
microcontroleur sdcurise* contre toutes intrusions non autorisees dans ses circuits internes. Ainsi, la prdsente invention realise la protection 
de plusieurs logiciels inddpendamment de leurs dditeurs par un sfiul appareil. 
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Protection simultanee de plusieurs logiciels de plusieurs concepteurs de logiciels. 
La presente invention concerne la protection de logiciels contre leurs utilisations non 
autorisees. 

L'industrie du logiciel est sans doute le secteur ou les produits sont le plus facilement copies. 
5 Or les medias d'enregistrement d' information qui sont en generate des supports optiques, 
magnetiques sont de plus en plus puissants en capacites de stockages. De plus, le temps mis pour 
effectuer une copie de ces medias est rapide. De plus, le prix pour posseder un appareil puissant de 
stockage d' information (disques dures, graveurs de CDROM) a ete completement democratise de 
sprte que les nouvelles versions de logiciels mises en vente sont tres rapidement confrontees a des 

10 problemes de copies illicites. De plus, il existe des pays ou la copie illicite est pratiquee de maniere 
industrielle et impunement a l'aide de CDROM. Si une telle pratique devait se generalise^ c'est 
tout le monde informatique qui s'ecroule. Les programmes sont developpes par les concepteurs de 
logiciels, appeles aussi developpeurs. Les licences d'utilisation de leurs logiciels sont ensuite 
vendues aux clients. Les societes concepteurs de logiciels gagnent des profits generalement a 

15 travers la vente directe de leurs produits logiciel et / ou la vente de licences. 

L' utilisation illicite de logiciels est definie par rapport a une autorisation d'utilisation de ces 
logiciels. Cette autorisation se traduit done par le fait que le concepteur de logiciel accepte de 
dormer une licence d'utilisation qui autorise vis a vis de la loi, 1' utilisation de ses produits, au terme 
d'une entente commerciale. 

20 Le prix de vente des logiciels est calcule avec le nombre d'utilisateurs susceptibles de les 

acheter. Ainsi les profits degages par une societe de conception de logiciels dependent assez de la 
maniere dont leurs clients comptent utiliser ces logiciels une fois achetee. Dans la mesure ou apres 
l'achat l'utilisateur est libre de dupliquer le contenu du media contenant ces logiciels, la survie des 
concepteurs de logiciels depend assez de Thonnetete de leurs clients. 

25 Ainsi, pour les logiciels utilises en reseau, cette licence obtenu autorise en general, 1'utilisation 

du logiciel donne que sur un seul poste d' ordinateur. Pour etre utilise sur plusieurs postes, un 
nombre de licences correspondant au nombre de postes d'ordinateurs prevus pour 1'utilisation de 
ces logiciels sur son reseau, doit etre achete. Bien entendu pour un ordinateur personnel, ce nombre 
est egal a 1. Par rapport aux concepteurs, rien ne peut leur garantir qu'effectivement leurs clients 

30 respectent bien les conditions liees aux contrats de vente des licences, car en l'absence de methode 
et/ou moyen, nen n'empeche 1'utilisation du logiciel sur un nombre de poste superieur au nombre 
de licences achetees. 

De plus, pour les logiciels utilises sur un ordinateur isole (ordinateur personnel) ou en reseau, 
si aucun moyen n'a ete prise par le concepteur de logiciels, rien n'empeche a ce qu'un utilisateur 
35 pirate face des copies de ces logiciels sur un media informatique pour les installer sur un nombre 
d'ordinateurs, de maniere illimitee et de les utiliser impunement. II se cree alors des marches noirs 
de ventes de logiciels « pirates ». Ce marche non controle peut causer de grand dommage dans 
l'industrie du logiciel. 

F£ UHv£ p:£ ^PLACBWf (HEGLE 26) 
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Les concepteurs qui desirent controler ce phenomene de copies et/ou d'utilisations illicites de 
leurs logiciels, achetent un appareil electronique permettant de proteger d'une certaine maniere ces 
logiciels. Mais cette solution n'est envisageable que pour certains logiciels. De plus, ces 
concepteurs sont dependants du fournisseur de ces moyens de protections de logiciels. Les 
5 concepteurs de logiciels a petit budget n'ont pas les moyens de proteger leurs produits numeriques 
compte tenu du prix trop eleve des methodes de protections par rapport aux prix de vente de leurs 
logiciels. 

De plus, l'utilisation de ces appareils electroniques necessite de la part du concepteur de 
logiciels, un achat de ces appareils avant la vente reel de ses logiciels. Cette situation oblige la 

10 constitution d'un stock qui peut representer un desavantage par rapport a ses concurrents qui 
auraient choisi de ne pas utiliser de moyens de protections de logiciels. 

Pour repondre a tous ces problemes d' utilisation de logiciels, differentes solutions ont ete 
apportees jusqu'ici. Une solution de protection de logiciels en reseaux ou en monopostes 
(ordinateurs personnels) est proposee dans le brevet U.S. Pat. No. 5,553,139. Cependant il ne 

15 permet pas de proteger des logiciels par un meme systeme d'appareil provenant de plusieurs 
concepteurs differents de logiciels. 

D'autres methodes sont utilisees pour un ordinateur donne par Tintermediaire de systemes 
electroniques connectes directement sur un port E/S de Fordinateur hote. Un tel systeme est 
propose dans le brevet U.S. Pat. No. 5,343,524. Cette invention repose sur l'utilisation d'un circuit 

20 electronique base sur un microcontroleur securise, qui ne peut etre reproduit. La protection de 
logiciels par rapport a cette invention concerne le fait que les logiciels proteges puissent verifier par 
l 1 intermediate de cles, la presence de cet appareil et interagir avec cet appareil. Cependant les 
appareils selon cette invention presentent le desavantage de ne proteger que des logiciels de 
grandes productions en raison de son cout, et d'autre part de ne pouvoir proteger que les logiciels 

25 d'un meme concepteur. Un exemple de produit similaire est distribue par la societe Rainbow. 

D' autre part, des methodes de protection entierement logiciel sont aussi employees. Ces 
protections consistent bien souvent a demander un code d'acces a 1'utilisateur. Ce code est ensuite 
verifie a l'aide d'un calcul tres complique. Cependant, il n'empeche pas certains utilisateurs de 
trouver le type de calcul qui est utilise de sorte que les logiciels proteges de cette maniere n'offrent 

30 aucune fiabilite par rapport a la protection de logiciels. 

Des systemes plus puissants sont utilises a travers l'utilisation de coprocesseur pouvant 
calculer une partie des codes d'un logiciel donne et protege selon cette methode. Generalement, ces 
logiciels ne peuvent etre utilises directement dans l'etat actuel ou ils ont ete livres a 1'utilisateur, 
car une partie est codee a l'aide de cles de cryptage stockees de maniere securisee en acces, dans 

35 une memoire de type ROM du coprocesseur. Ce principe implique le fait qu'un utilisateur ayant 
obtenu une licence d'utilisation d'un logiciel protege selon cette methode soit attache a l'ordinateur 
hote sur lequel le logiciel a ete installe. De plus, la possibility de proteger plusieurs logiciels de 
plusieurs societes de concepteur est difficile a mettre en oeuvre. Ainsi, un coprocesseur ayant des 
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caracteristiques similaires est propose par le brevet U.S. Pat. No. 4,817,140. Le coprocesseur 
relative a ce brevet est lance a condition que l'utilisateur dispose d'une cle pour justifier son achat 
de licences d'utilisation. Un tel systeme presente un autre desavantage : son utilisation dediee a la 
protection de logiciels d'un seul concepteur, peut rendre la presence d'un coprocesseur genant 
5 notamment quand d'autres concepteurs decide de fournir un moyen de protections de logiciels 
similaire. Dans certains cas, l'ajout de nouveau appareil peut etre impossible. Par ailleurs, un tel 
coprocesseur represente un investissement possible qu'avec des logiciels dont le prix est tres haut 
(couteux) par rapport au prix de ce coprocesseur deja onereux. De plus, l'utilisateur est lie a 
1'ordinateur sur lequel est installe le coprocesseur. 

10 La plupart des systemes utilises pour la protection de logiciels sont dedies a une categorie 

precise de logiciels. L'image de ces systemes vis a vis de l'utilisateur peut etre genant dans la 
mesure ou ils sont assimiles a une sorte de police electronique de surveillance et non de 
protections. De plus, ces systemes sont contraignants dans la mesure ou 1'utilisation de logiciels 
proteges par ces systemes est liee a Tordinateur hote sur lequel est installe le logiciel. De plus 

15 l'ecriture d'un logiciel protege est tres dependante de l'architecture du moyen de protections, ce qui 
peut rendre le developpement du logiciel complique. De plus, comme dans le cas des « dongles », 
l'utilisateur est lie dans 1'utilisation des logiciels aux moyens qui servent a la protections de 
logiciels. Ainsi, a titre d'exemple, si un dongle est perdu, cette perte entraine tres souvent la perte 
du droit d'utilisation du logiciel attache au dongle perdu. D'autre part, les systemes de protection 

20 de logiciels ne tiennent pas compte du fait qu'un logiciel attache a son systeme electronique de 
protection peut etre vole. Dans ce cas de vol, et d'utilisation illicite par rapport au voleur, il n'y a 
pas moyen d'empecher 1'utilisation du logiciel vole. De plus, l'utilisateur devra obtenir une 
nouvelle licence par un nouvel achat. 

De plus, certains logiciels proteges sont caracterises par leur utilisation limitee dans le temps. 

25 Un tel systeme est presente par le brevet U.S. Pat. No. 4,868,736. Ce brevet a le desavantage de ne 
pouvoir realiser que cette fonctionnalite. 

Ainsi, la presente invention permet de remedier a tous les inconvenients qui viennent d'etre 
cites. 

La presente invention concerne la protection de logiciel contre le non respect des conditions 
30 d 'utilisations des logiciels fixes par son concepteur. Elle concerne 1'utilisation d'un seul appareil 
pour proteger plusieurs logiciels independamment des systemes informatiques et du concepteur de 
ces logiciels. II est base sur 1'utilisation de deux appareils electroniques qui ne peuvent pas etre 
dupliques sans autorisations. Cette protection contre la duplication des appareils selon la presente 
invention est realisee grace a une methode d'authentification integree dans ces appareils. 
35 Le premier appareil est un lecteur electronique du second. II est note LCL pour lecteur de 

cartes de licences. Ce lecteur assure la quasi-totalite des fonctionnalites de protections de logiciels 
selon la presente invention. 
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Le second appareil est une carte electronique, notee CL (carte de licences). Chaque utilisateur 
qui desire executer des logiciels proteges selon la presente invention, doit posseder une carte CL 
sur lequel les autorisations d'utilisations de logiciels proteges selon la presente invention, sont 
stockees. 

Ainsi, la presente invention separe.sur trois niveauxla protection de logiciels. Dans un 
premier temps, la presente invention concerne une methode permettant la separation du logiciel 
protege (media d'enregistrement) du moyen qui realise la protection de ce logiciel (le lecteur LCL). 
Dans un deuxieme temps, le lecteur LCL est distribue de maniere independante par rapport a la 
distribution des logiciels proteges selon la presente invention. Ainsi, le meme lecteur LCL, peut 
etre utilise pour permettre la protection de plusieurs logiciels independamment des concepteurs et 
du nombre de logiciels. L'utilisation de logiciels proteges selon la presente invention, n'est 
possible que si l'utilisateur dispose de la carte CL qui est distribute independamment du lecteur 
LCL. 

Selon la presente invention, la carte CL est un appareil portatif de petite taille par rapport a 
une carte a puces. Elle possede un dispositif amovible d'enregistrement de grande capacite. Elle 
permet de stocker des donnees de maniere securisee contre des lectures et/ou modifications non 
autorisees. Elle est essentiellement utilisee comme un dispositif d'acces permettant l'utilisation des 
logiciels proteges selon la presente invention. Les conditions d'utilisation d'un logiciel sont fixees 
par les concepteurs de logiciels. Un utilisateur ne peut executer un logiciel qu'a condition de 
posseder une autorisation qui lui a ete fournie sur sa carte CL lors d'une operation d'achat. La carte 
CL permet de stocker sur un media d'enregistrement amovible un grand nombre d' autorisations 
d'utilisations de logiciels proteges. Ainsi, la carte CL permet a l'utilisateur de transporter les 
autorisations d'utilisation de logiciels et de pouvoir utiliser les logiciels correspondants sur tout 
ordinateur lorsque l'utilisation de ces logiciels dont il a le droit est possible par rapport a la 
presence ou non de ces logiciels proteges sur cet ordinateur. 

La presente invention concerne par rapport a 1' usage de cette carte CL un moyen de lutter 
contre les pertes ou le vol de cette carte CL. En cas de pertes ou de vols, la carte peut etre rendue 
inutilisable par l'organisme qui gere (administre) les appareils selon la presente invention. Une 
partie importante des licences d'utilisations de ces logiciels peut etre recuperer en cas de perte. 
Ainsi, l'utilisateur ne coure pas le risque de perdre ses droits d'utilisation d'un logiciel lors de 
pertes de carte CL, ce qui peut etre le cas avec les appareils de protection de logiciels dans l'etat 
actuel de Tart. 

La presente invention concerne des methodes de protection de logiciels independamment des 
systemes informatiques. La presente invention permet la protection de logiciels utilises en reseau 
et/ou sur un ordinateur personnel. Le lecteur LCL possede une grande capacite de modularite par 
rapport aux differents peripheriques qui peuvent etre ajoute sur son systeme electronique interne. 
Ainsi, il tres facile de connecter le lecteur LCL sur tout environnement informatique. Ainsi, la 
protection de logiciels selon la presente invention, est realisable avec le meme lecteur LCL dans 
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des systemes informatiques tres heterogenes oil de nombreux systemes differents cohabitent. Le 
fonctionnement des lecteurs LCL est independant de ces systemes informatiques. Par consequent, 
les lecteurs LCL permettent la protection des logiciels independamment des systemes 
informatiques prevus pour executer ces logiciels. 
5 La presente invention permet le developpement de logiciels proteges independamment des 

caracteristiques techniques des appareils selon la presente invention. Le developpement des 
logiciels proteges selon la presente invention, est independant du fonctionnement interne du LCL. 
La realisation d'un logiciel protege selon la presente invention est rendue possible en faisant 
executer une partie des fonctions qui composent ce logiciel par les ressources interne du LCL. 

10 L'ecriture de ces fonctions est completement transparente dans la mesure ou le concepteur de 
logiciel n'est pas tenu de respecter l'architecture electronique du LCL. Le bon fonctionnement de 
ces fonctions. peut meme etre teste a l'exterieur du lecteur LCL, de sorte que le travail de 
protections de logiciels pour le concepteur s'arrete a l'ecriture de ces fonctions. Ces fonctions sont 
essentiellement des fonctions de calculs de petite taille par rapport a la taille d'un logiciel standard 

15 et dont 1'execution est tres rapide. Ainsi, plusieurs logiciels proteges differents peuvent etre utilises 
dans le cadre d'un reseau avec le meme lecteur LCL. De plus, plusieurs logiciels proteges selon la 
presente invention peuvent done etre utilises sur un ordinateur personnel avec un seul lecteur LCL. 
Le fonctionnement du lecteur LCL utilise avec un ordinateur personnel par rapport a une utilisation 
dans un environnement reseau ne differe qu'au niveau des peripheriques de communication utilises 

20 dans chaque cas. *. * 

Selon la presente invention, le lecteur LCL realise la protection de logiciel en effectuant des 
mesures sur 1' utilisation de tous les logiciels en cours d'execution. Le lecteur LCL est selon la 
presente invention, capable de connaitre le nombre de licences utilisees sur un ordinateur et/ou sur 
tout le reseau auquel il est connecte. II est capable de connaitre la duree d'utilisation d'un logiciel 

25 donne par un utilisateur donne. Selon la presente invention, il est capable de connaitre toutes les 
informations d'utilisation concemant un logiciel donnee par rapport au temps. Ces moyens de 
mesure propre au lecteur LCL permettent au lecteur LCL d'arbitrer I'utilisation des logiciels 
proteges selon la presente invention. Cet arbitrage est effectue par rapport aux conditions 
d'utilisation de chaque logiciel protege selon la presente invention. Ces conditions sont fixees par 

30 le concepteur de ces logiciels. 

Ainsi, selon la presente invention, la carte CL sert a stocker des autorisations d'utilisations de 
logiciels et le profil de 1'utilisateur par rapport a son utilisation des logiciels proteges selon la 
presente invention. Le lecteur LCL est charge de verifier si le profil de Futilisateur par rapports a 
ses droits d'utilisations des logiciels, correspond bien aux conditions d'utilisation fixees par le 

35 concepteur de ces logiciels. Ces conditions peuvent etre selon la realisation de la presente 
invention, des conditions d'utilisations limitees dans le temps, des conditions d'ouverture 
simultanee d'un nombre de sessions d'execution limitees par le nombre de licences d'utilisation 
possedees par le proprietaire de la carte CL. 
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Ainsi, un seul lecteur LCL peut arbitrer sur un ou plusieurs ordinateiirs 1 'utilisation de un ou 
plusieurs logiciels differents proteges selon la presente invention. Les regies d'arbitrages peuvent 
etre specifiques a chaque version de logiciels, ce qui permet la protection de plusieurs logiciels par 
un seul appareil selon des criteres specifiques a T utilisation de chaque logiciel protege. 
5 La presente invention permet une distribution des logiciels proteges independamment des 

moyens de protection de sorte que le developpeur de logiciels peut ne pas constituer de stocks 
d'appareils permettant la protection. Ainsi, la protection de logiciels selon la presente invention est 
interessante pour les petites et les grandes distributions de logiciels : Fusage d'un seul appareil 
pour la protection de plusieurs logiciels independamment des concepteurs ne peut que diminuer le 
10 cout d'utilisation du systeme de protection de logiciels selon la presente invention. De plus, la 
presente invention permet une grande souplesse par rapport a T administration des logiciels 
proteges. La vente des autorisations d'utilisation d'un logiciel donnees peut etre centralisee ou 
decentralisee. 

De plus, selon la presente invention, la creation de logiciel protege peut etre effectuer de 

15 plusieurs maniere. Les autorisations pour creer un logiciel protege selon la presente invention, 
peuvent etre centralisees ou decentralise (situation decrite dans le cas de developpement de 
logiciels de demonstrations ou de logiciels dont Tutilisation est limitee). 

De plus, les appareils selon la presente invention peuvent effectuer des communications avec 
des systemes distants. L'administration de ces appareils est effectuee par un systeme distant qui est 

20 selon la realisation de la presente invention, un serveur note aSVR. Ce serveur fixe les conditions 
d'utilisations des appareils selon la presente invention. II arbitre de maniere generale Tutilisation 
des appareils selon la presente invention. 

De plus, les autorisations d'utilisation de logiciels contenue dans une carte CL peuvent etre 
soit deplacees dans le lecteur LCL, soit dans une autre carte CL. Dans le cas ou le deplacernent 

25 aurait lieu vers un lecteur LCL, Tacces aux logiciels proteges peut etre realise sans la presence 
d'une carte CL. Dans le cas de deplacements vers une autre carte CL, cela permet des distributions 
de licences d'utilisations de logiciels par des revendeurs. La presente invention permet ou non la 
centralisation des ventes des autorisations de logiciels. 

De plus, selon la presente invention, le lecteur de cartes LCL possede un ou des dispositif(s) 

30 * qui permet un rajout de peripheriqiies rapidement et facilement. Selon des modes particuliers de 
realisation, le lecteur LCL dispose d'un recepteur radio pour recevoir des informations de maniere 
securisee ou non grace a un dispositif d'emission gere par ledit serveur aSVR. Ce recepteur est 
essentiellement utilise pour des operations d'achat d'autorisations d'utilisation de logiciels hors 
ligne, des operations de mise a jour. II permet aussi de gerer la securite d'utilisation des appareils 

35 selon la presente invention. 

La presente invention permet par ses moyens et ses methodes des achats soit par des 
connexions informatiques, soit par un systeme d'accueil humain. Les achats peuvent done etre 
effectues en ligne ou hors ligne. Ces achats consiste en Tacquisition des autorisations d'utilisations 
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de logiciels proteges selon la presente invention. La presente concerne l'emploi d'un recepteur 
radio numerique permettant en particulier la reception de ces autorisations d'utilisations. 

Pour realiser la protection de plusieurs logiciels independamment de leurs concepteurs, la 
presente invention concerne 1'utilisation au sein du lecteur LCL, d'un microcontroleur securise 
5 contre les lectures et/ou les modifications non autorisees de sa memoire interne et contre des 
attaques de virus informatiques qui peuvent etre rencontres dans la mesure oil ce microcontroleur 
execute des programmes dont il ignore la fiabilite, 1'utilisation du lecteur comme moyen de 
protection de logiciels est libre en dehors des accords commerciaux eventuels. Ainsi, cette 
propriete permet a ce que 1 'usage du lecteur LCL et de la carte CL sont completement libre. 

10 Pour permettre a Tutilisateur de transporter des. autorisations d'utilisations de logiciels 

proteges, la carte CL est de petite taille. II est base sur un microcontroleur permettant de securiser 
1'acces aux informations qui definissent les droits d'utilisations d'un logiciel donne. II peut stocker 
un tres grand nombre d'autorisation d'utilisations de logiciels proteges selon la presente invention. 
Les informations sont stockees sur un media d'enregistrement de fortes capacites. Elles sont 

15 protegees contre toutes modifications et lectures non autorisees. De plus, le systeme interne de son 
microcontroleur est aussi protege contre tout controle physique et logique. 

De plus, la presente invention concerne un systeme de protection de logiciel evolutifdans la 
mesure ou il est possible de mettre a jour l'ensemble des systemes informatiques contenus dans les 
microcontroleurs cites precedemment. Compte tenu de leur capacite de securiser le stockage de 

20 donnees et T execution de programmes, compte tenu aussi de la possibility de mettre facilement a 
jour les systemes informatiques des appareils selon la presente invention, la presente invention 
permet a des appareils de protection de logiciels d'etre utilisee dans d'autres secteurs 
d' applications. 

Les dessins annexes illustrent l'invention : 

25 La figure 1 illustre l'ensemble des variantes de connexion mise en jeux dans la presente 

invention, et reflete le fonctionnement general de 1' invention. Elle permet de comprendre les 
differents contextes d'utilisations des appareils selon la presente invention. 

La figure 2 illustre les differentes couches de logiciels necessaires pour que un LCL donne 
puissent se connecter vers un systeme distant. 

30 La figure 3 illustre le schema synoptique de l' architecture du microcontroleur utilise dans 

Tappareil LCL. 

La figure 4 reflete les associations possibles entre deux LCL concurrents sur le meme reseau, 
pour permettre le partage des operations liees a la protection de logiciels par la presente invention. 
La figure 5 illustre le schema synoptique des differents elements composant la carte 
35 electronique CL, notamment 1' architecture du microcontroleur associe a une carte CL. 
La figure 6 represente une vue de face du boitier de la carte CL. 

La figure 7 represente une vue en perspective du boitier CL avec la carte CompactFlash sortie 
de son support. 
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La figure 8 illustre les jeux de connecteurs males femelles entre LCL et CL. 
La figure 9 illustre le fait que les appareils selon la presente invention possedent .des durees 
d' utilisation par rapport au calendrier. 

La figure 10 illustre les etapes d'une procedure d'authentification empechant des appareils 

5 pirates de fonctionner avec les appareils (lecteurs LCL et cartes CL) certifies. 

La figure 1 1 illustre les etapes d'une operation d'achat de licences d'utilisation de logiciels 
proteges selon la presente invention. 

La figure 12 illustre un arbre logique, simplifie et utilise par le systeme d 'exploitation du 
microcontroleur 100 pour effectuer la protection de logiciel. 

10 En reference a la figure 1, selon la realisation de la presente invention, l'ensemble du systeme 

qui exploite le lecteur electronique, peut avoir une gestion centralisee par 1' intermediate d'un 
serveur aSVR qui possede une base de donnees 12 relatives aux appareils . selon la presente 
invention. L'ensemble des elements compris dans Fencadre 10 est gere par un organisme donne. 
Cet organisme est le distributeur des appareils relatifs a la presente invention. Le serveur aSVR 

15 peut communiquer avec des systemes informatiques distants utilisant.un lecteur LCL. Selon des 
variantes de la realisation de la presente invention, un lecteur LCL peut posseder un moyen pour se 
connecter soit directement sur un reseau 40, soit sur un port E/S d'un ordinateur personnel 
(contexte represente par l'encadre 30) ou posseder un radiorecepteur numerique 22 (contexte 
represente par l'encadre 20). 

20 Selon la realisation de la presente invention, la figure 2 illustre les differentes couches 

traversees par LCL pour atteindre un systeme distant. Les communications entre le systeme distant 
et LCL sont gerees par deux programmes toumant sur un ordinateur 50. La connexion 54 entre 
I'ordinateur et un lecteur LCL peut en fonction du type d'utilisation etre une connexion reseau dans 
le cas de Tencadre 40 ou une connexion directe sur un port E/S de I'ordinateur 50 dans les 

25 contextes 30 et 20. Le port retenu pour la realisation de la presente invention, dans les contextes 30 
et 20, est un port USB (Universal Serial Bus) pour des raisons de rapidite, en supposant que les 
ordinateurs utilises possedent un tel port de communication. La description de la presente invention 
a retenu pour le contexte d'utilisation 40, le cas d'un reseau Ethernet avec le protocole TCP/IP. 
Ainsi, dans ce contexte le lecteur LCL possedera un peripherique reseau adequat. Le programme 

30 PGM 52 permet de communiquer de maniere interactive avec un lecteur LCL donne. Ces 
communications se font grace au programme driver DRV 51. En reference a la figure 2, ce driver 
51 realise toutes les fonctions de communications entre un lecteur LCL et un ordinateur 50 
connecte a ce lecteur. Les differentes fonctionnalites de ces deux programmes propres a la gestion 
des appareils selon la presente invention, seront definie par la suite. Le programme PGM permet 

35 d' assurer au lecteur LCL une communication avec un systeme distant. Pour realiser cette 
communication, PGM utilise les ressources de communications 53 de I'ordinateur hote 50. Le 
programme DRV assure quant a lui la communication locale entre le lecteur LCL et le programme 
PGM. Daijs -le cas 30, il peut s'agir du modem 31 permettant une connexion vers le reseau Internet 
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auquel est attache le serveur aSVR. Selon la realisation de la presente invention, pour le cas 40, la 
ressource de communication 53 est celle de l'ordinateur 50 par rapport aux ressources du reseau 
local, permettant un acces vers un systeme distant via le reseau Internet. 

L'utilisation des lecteurs LCL est sous soumise par une condition d' identification lors de sa 
5 mise en marche, et par une condition de la connexion effective de la carte CL sur un support du 
lecteur LCL. Ces deux conditions seront decrites par la suite. 

Le contexte 20 correspondant a des situations ou le lecteur LCL. est connecte sur un ordinateur 
ne possedant pas de moyens de communication avec un systeme distant. Ce fonctionnement sera 
_ decrit par la suite. 

10 Selon la presente invention, la protection de logiciel est rendue possible en faisant executer 

une petite partie des fonctions d'un logiciel donne, par ledit lecteur electronique, note LCL. Ladite 
carte electronique, note CL, possede les autorisations d'utilisation du logiciel. Compte tenu de sa 
capacite de stockage, la carte CL peut stocker une grande quantite d'autorisations d'utilisation. De 
cette maniere, la presente invention permet par le moyen d'un seul dispositif electronique, la 

15 protection de plusieurs logiciels simultanement et independamment de leurs concepteurs. 

Selon la realisation de la presente invention, le lecteur LCL et la carte CL sont respectivement 
associes a deux numeros de serie uniques. L'ensemble des informations permettant le 
fonctionnement du lecteur LCL et de la carte CL pour realiser la protection de logiciels, est gere 
par le serveur aSVR a Paide de sa base de donnees 12 qui doit etre protegee contre des acces non 

20 autorises par rapport a la securite du systeme mise en place pour la protection de logiciels. 
L'organisme en question qui gere aSVR attribue respectivement a une carte CL donne et un lecteur 
LCL donne, les numeros de series ID.c et ID.d, et les cles secretes de codages kT.c et kT.d. Les 
numeros ID.c et ID.d sont uniques. Ces deux numeros et ces deux cles secretes sont stockes dans de 
la memoire non volatile qui se trouve dans le systeme electronique de CL et de LCL. Des 

25 precisions seront donnees ulterieurement. Les couples (ID.c, kT.c) et (ID.d, kT.d) sont stockes par 
ailleurs dans la base de donnees 1 2 accessible uniquement par aS VR pour des raisons de securites 
evidentes. Les cles kT.c et kT.d sont connues uniquement par aSVR, en dehors des appareils LCL 
et CL. 

De plus, selon la realisation de la presente invention, les numeros ID.c et ID.d sont publics, 
30 mais non modifiables. Cela signifie qu'ils sont stockes dans la memoire protegee -du systeme 
electronique integre dans chaque appareil relatif a la presente invention, et qu'ils sont 
communiques par ailleurs a leur utilisateur sous une forme claire. Selon la realisation de la presente 
invention, ils sont marques sur le boitier de CL et de LCL. De plus, la presente invention ne 
concerne la forme du boitier utilise pour le lecteur LCL. 
35 Selon la realisation de la presente invention, la methode de cryptage adoptee avec les cles 

secretes de codage kT.d et kT.c, concerne le cryptage DES (data encryption standard) developpe 
par la societe IBM. Ces deux cles ont une taille de 128 bits suffisante contre des craquages de 
codes. Selon des modes particuliers de realisation, on pourra choisir d'autre type de cryptage et de 
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taille de cles de codage. 

Selon la presente invention, les appareils LCL et CL sont parametrables dans une certaine 
mesure par 1 'intermediate d'un programme informatique, note PGM, adapte pour chaque type 
d'ordinateur et de systemes d'exploitation informatique. PGM permet a un utilisateur de demarrer 
5 des procedures relatives a des operations necessitant une intervention de 1 'utilisation. Ces 
procedures sont decrites par la suite. PGM est distribue par ledit organisme qui gere aSVR. A 
1'installation de PGM sur un ordinateur bote, une operation de localisation d'un lecteur LCL est 
effectuee. Si un lecteur LCL est connecte directement sur un port de communication de l'ordinateur 
hote, un driver logiciel DRV de communication a travers ce port est installe afin de permettre a un 
10 programme de cet ordinateur d'envoyer des donnees vers LCL et d'en recevoir de LCL en suivant 
le schema de la figure 2, sans tenir compte des caracteristiques techniques de la communication 
entre cet ordinateur et le lecteur LCL connecte. Le driver DRV permet une utilisation transparente 
du lecteur LCL. 

Dans le cas ou des logiciels proteges seraient utilises en reseau (il s'agit du contexte 40), un 

15 programme driver DRV adequat sera installe sur chaque ordinateur du reseau, pour permettre la 
communication entre ces ordinateurs et le LCL connecte sur ce reseau local. Le driver DRV permet 
une utilisation transparente de LCL pour chaque ordinateur du reseau qui peuvent avoir des 
systemes informatiques differents entre eux. 

A son installation sur le reseau Ethernet, le lecteur LCL re9oit une adresse IP par rapport au 

20 protocole TCP/IP, qui permet au driver installe sur les ordinateurs du reseau de le localises 

De plus, chaque driver DRV permet a chaque ordinateur hote ou sont utilises des logiciels 
proteges par la presente invention, de communiquer avec le lecteur LCL. La realisation de la 
presente invention permet aussi a ce que plusieurs programme PGM puissent etablir des 
communications avec un lecteur LCL donne connecte sur le reseau considere. Dans son utilisation 

25 reseau 40, le lecteur LCL en cas d'utilisation intensive, peut partager avec d'autre lecteur LCL, sa 
fonction de protection de logiciels comme on le voit sur la figure 4 ou une repartition des 
ordinateurs utilisant deux lecteurs LCL est illustree. La repartition des lecteurs LCL presents sur le 
reseau avec les ordinateurs est, selon la realisation de la presente invention, realisee par 
1' administrates* reseau. Ce dernier effectue la repartition des ordinateurs du reseau par rapport aux 

30 lecteurs LCL presents sur le reseau, au moment de 1'installation de DRV sur chaque ordinateur de 
ce reseau. II indique a DRV Tadresse IP du lecteur LCL a utiliser. 

Apres 1'mstallation de PGM sur un ordinateur hote, les utilisateurs de cet ordinateur peuvent 
alors effectuer sur un lecteur LCL donne, connecte avec une carte CL donnee les differentes 
operations suivantes : achat en ligne de licences d'utilisation de logiciels proteges par ia presente 

35 invention, deplacement d'un certain nombre de licences d'utilisation de logiciels d'une carte CL 
vers une autre carte CL, des operations de recuperation de licences perdues avec la perte d'une 
carte CL, la mise a jour des programmes contenus dans les memoires electroniques du lecteur LCL 
ou de la carte CL. 
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Ainsi, la realisation de la presente invention considere un logiciel donnc, note LD. Les 
descriptions suivantes sont valables pour tout autre logiciel. Son concepteur (fabricant) le protege 
selon la presente invention, contre des utilisations illegales en separant l'ensemble des fonctions 
composant son logiciel en deux parties. La premiere partie conceme les procedures dont il desire 
5 laisser 1' execution a un ordinateur hote. La deuxieme partie concerne les fonctions qui devront etre 
executees par les ressources de calculs de LCL. Ces fonctions doivent etre rapide a executer. Leur 
taille est de Tordre du 100 kilooctets. 

De cette deuxieme partie dudit logiciel LD, il en extrait une liste de fonctions {F 0 , Fi,...,F;, 
...F n }. Ces fonctions sont necessaires pour le fonctionnement du logiciel LD. Pour effectuer cette 
10 extraction, il doit respecter une regie primordiale : ces fonctions ne doivent pas faire appel a des 
ressources caracteristiques des ordinateurs prevus pour 1' execution de LD. Cette condition est assez 
facile a respecter. Par exemple, ladite liste de fonctions peut etre uniquement des fonctions de 
calculs purs. 

Selon la realisation de la presente invention, 1'ecriture de ces fonctions et le test de leur bon 
15 fonctionnement peuvent etre realises independamment de la presence du lecteur LCL. Le moyen 
retenu pour la realisation de la presente invention, concerne la machine virtuelle JAVA. Ainsi, ces 
fonctions sont ecrites en JAVA. Ces fonctions sont done compilees en « byte code » du langage 
universel JAVA et stockees dans un fichier, note LF. 

Par ailleurs, selon la realisation de la presente invention, la protection du logiciel LD 
20 commence alors par V execution du programme PGM sur un ordinateur contenant LE. Selon la 
realisation de la presente invention, PGM demande alors au concepteur de LD le systeme 
d'exploitation (WINDOWS NT, DOS, UNIX,...) et le type d'ordinateur (MACINTOSH, SPARC, 
PC,...) qui executeront LD. Apres ces reponses, PGM lance une procedure de connexion du lecteur 
LCL disponible vers le serveur aSVR. La communication entre LCL et aSVR se fait selon la figure 
25 2. Le numero de serie du lecteur LCL est donne en premier au serveur aSVR. Durant cette 
procedure de creation d'un logiciel protege par la presente invention, LCL demande a aSVR en 
communication securisee un numero de serie S# a associer au logiciel a proteger LD et une cle de 
codages kX.S#. 

Selon la realisation de la presente invention, S# est definit sur 128 bits, et la cle kX.S# est 
30 definie par rapport au cryptage DES avec une taille de 128 bits. - ? 

Selon la realisation de la presente invention, pour effectuer ladite communication securisee 
avec aSVR, LCL commence par envoyer a aSVR son numero ID.d sous une forme non codee. Par 
association avec la cle correspondante, aSVR trouve dans sa base de donnees 12, la cle kT.d a 
associer a ID.d. 

35 Ainsi, aSVR retourne a LCL, S# et kX.S# sous une forme codee avec la cle kT.d. Le lecteur 

LCL recupere la forme claire de S# et kX.S# en decodant avec la cle kT.d qui se trouve dans sa 
memoire interne 111, par rapport a ralgorithme de cryptage DES. 

Selon la presente invention, la cle kX.S# est connue par aSVR seul, car apres utilisation, 
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kX.S# sera efface de la mernoire securisee DRAM 109 de LCL. De plus, S# esl communique a 
PGM qui l'inscrit dans un fichier biriaire contenant les conditions limites d'utilisation du logiciel. 
Selon la realisation de la presente invention, ce fichier peut avoir le format suivant : S# du logiciel 
associe (128 bits), licences permanentes (8 bits), duree d'utilisation (24 bits), l'utilisation expire fin 
5 (16 bits), nombre ^executions (32 bits). Ce fichier fait done une taille de 26 octets. {F 0 , F,,...^, 
...F n } subissent ensuite des operations de cryptage. La fonction F 0 est traitee a part. II s'agit selon 
la realisation de la presente invention, de la procedure dite d'initialisation permettant d'une part de 
compter le nombre de licences utilisees sur le reseau dans le contexte reseau 40, et d'autre part de 
mesurer des caracteristiques d'utilisation du logiciel LD par rapport au temps. C'est une fonction 

1 0 qui est executee durant l'execution du logiciel LD par un utilisateur, et de fa<?on repetitive. F 0 est en 
particulier la premiere fonction qui sera executee par LCL lors de rouverture d'une session 
d'executions du logiciel LD. 

F 0 est codee avec une cle differente de kX.S#. Pour cela le logiciel PGM genere une cle du 
meme type notee kEL.S# par rapport au cryptage DES. La cle kEL.S# est connue uniquement par 

15 le concepteur de LD. Selon la realisation de la presente invention, kEL.S# est une cle de 128bits. II 
est de la responsabilite du concepteur de conserver en securite cette cle kEL.S#. A cette fonction 
codee, il joint une autre information codee aussi par la cle kEL.S#. II s'agit du fichier contenant les 
conditions limites d'utilisation du logiciel LD. Ces informations codees constituent alors un fichier 
nomme eF 0 selon la realisation de la presente invention. 

20 De plus, selon la realisation de la presente invention, les autres fractions sont ensuite codees 

par la cle kX.S#. Pour cette etape, PGM envoie ensuite F Is ...,Fj, ...F„ vers LCL par l'intermediaire 
de DRV. Les ressources de calculs de LCL codent alors ces fonctions successivement avec la cle 
kX.S#. A la fin des operations de codage, LCL retourne {eF!,....,eF n } correspondant 
respectivement aux formes codees de (Fj . . , F n } . 

25 Selon la realisation de la presente invention, PGM procede ensuite a T assemblage du logiciel. 

Pour un systeme d' exploitation donnee, PGM cree un fichier bibliotheque de fonctions qui seront 
executee durant T execution du logiciel LD sur Tordinateur d'un utilisateur donne. Les differentes 
fonctions de la bibliotheque permettent de charger un element de {eF 0 , ....,eF n } avec les parametres 
necessaires a Texecution de la fonction correspondante, vers le lecteur LCL lors de l'utilisation de 

30 LD. eFO, ,...,eFn seront respectivement chargees par les fonctions FF 0 ,....,FF n creees par PGM. 
Ces fonctions sont creees par rapport au type de systemes d' exploitations et le type d'ordinateurs 
associes qui executeront LD. PGM rassemble ainsi {FF0,...,FFn} et {eF0,...,eFn} avec le reste du 
logiciel LD ainsi protege, et numerote S#. Le tout est ensuite mis sur media d'enregistrement, par 
exemple un CDROM. Le logiciel est ainsi protege et pret a etre diffuse librement, car il ne pourra 

35 pas etre utilise dans 1'etat actuel.- Ainsi, la distribution du media d'enregistrement peut etre 
effectuee de maniere completement libre. 

Ainsi, la protection de logiciel selon la presente invention, est basee sur l'utilisation des 
ressources de calculs du lecteur LCL. 
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Selon la presente invention, le lecteur LCL est un lecteur electronique consti-uit autour d'un 
microcontroleur 100 securise physiquement et logiquement afin de prevenir contre les tentatives de 
pirates pour des controles electroniques non autorises. Compte tenu du fait que ce microcontroleur 
100 est amene a executer des programmes d'origine inconnue, la presente invention concerne un 
5 moyen d'empecher des attaques informatiques du microcontroleur 100 par rintermediaire de virus 
informatiques. Cette mesure est prise pour empecher un virus de lire des informations 
confidentielles liees aux fonctionnements du lecteur LCL. Ainsi la presente invention permet de 
securiser a la fois le stockage d' information et a la fois l'execution de tout programme exterieur 
aux programmes initialemcnt charges dans le microcontroleur 100. 

10 Selon la realisation de la presente invention, l'architecture retenue du microcontroleur est 

construite autour d'un systeme base sur un jeu de deux processeurs utilises en maitre esclave. En 
reference a la figure 3, le microcontroleur 100 integre sur la meme pastille de silicium deux parties 
principales 130 et 120. Les methodes d'integration ASIC (Application Specific Integrated Circuit) 
sont employees pour realiser ces pastilles de silicium. La partie 130 comporte un processeur CPU1 

15 qui est le processeur maitre. II est relie par un bus interne 101 a un module de memoires FLASH 
111, un module de memoires DRAM 109, un generateur de nombre aleatoire 112, un port E/S 
RS232 151, un port USB 152, un controleur de cartes a puces (SmartCard) 153, un controleur 
PCMCIA 154, un controleur clavier et ecran LCD 155, un controleur 113 du processeur esclave 
CPU2 qui se trouve dans la partie 120, une interface 106, une interface Bus exteme 105, une 

20 horloge temps reel programmable interne 104, un systeme de microfusible interne 102 qui permet 
de sortir le bus interne 101 a V exterieur du microcontroleur 100. La partie 120 du microcontroleur 
100 comporte un watchdog 108. Le CPU2 est relie par le bus interne 1 14 a un module de memoires 
DRAM 110, un controleur DMA 107, et une interface 106. L'esclave CPU2 est commande par 
rintermediaire du controleur 113 et de Tinterface 106. Ces deux derniers systemes electroniques 

25 (1 13 et 106) sont controles uniquement par le processeur maitre CPU1. Ainsi, une telle architecture 
permet l'execution des programmes d'origine inconnue sans pour autant endommager Pintegrite 
des informations contenues dans le microcontroleur 100. 

Selon des modes particuliers de realisation, le microcontroleur 100 peut ne pas integrer sur la 
meme pastille de silicium tout ou partie des elements suivants : Port E/S RS232 151, port USB 152, 

30 controleur de cartes a puces 153, controleur. PCMCIA 154, controleur clavier et ecran LCD 155. 
Selon des modes particuliers de realisation non illustres, et afin d'accelerer la vitesse de traitement 
d'informations, le microcontroleur 100 peut comporter sur la meme pastille de silicium un 
coprocesseur de cryptage adapte par rapport a la technique de cryptage DES. Bien entendu ce 
coprocesseur de cryptage sera integre dans la partie 130 relie sur le bus interne 101. 

35 Selon la presente invention, 1'horloge temps reel interne 104 est alimentee par une pile 

electrique 103 externe par rapport au microcontroleur 100. Son fonctionnement est autonome. Cette 
horloge est integree sur ladite pastille de silicium afin d 'empecher des tentatives de controles 
electroniques faussant l'heure et la date qu'il fournit au CPU1. Compte tenu de la faible 
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consommation electrique de cette horloge, la pile electrique permet de foumir en continue le 
courant necessaire au fonctionnement de cette horloge pendant toute la duree d'utilisation du 
microcontroleur 100 comme organe central du lecteur LCL. Eventuellement, une procedure de 
mise a 1'heure de Thorloge 104 pourra etre effectuee par le serveur aSVR. L'horloge 104 permet de 
mesurer le temps d'utilisation des logiciels proteges et d'effectuer des operations dependant de la 
date et de 1'heure. 

Le bus interne 101 est sorti vers l'exterieur du microcontroleur 100, par 1' intermediate du 
systeme de microfusibles 102. Selon une variante non illustree, le systeme de microfusibles est 
evite en employant de la memoire OTP EPROM interne. Cette variante permet les memes niveaux 
de securite que 1'utilisation du systeme de microfusibles 102. 

Le systeme de microfusibles 102 permet de realiser un systeme de microcontroleur 
programmable une seule fois. Les donnees necessaires pour mettre en service les lecteurs LCL 
(cles de codages secretes, numeros de serie, identifiants, dates, heures), et le systeme d'exploitation 
du microcontroleur 100 regroupant des programmes permettam aux lecteurs LCL de realiser 
directement et/ou indirectement toutes les fonctionnalites relatives a la presente invention, sont 
programmes en usine dans la zone memoire de memoire non volatile (memoire Flash 111). Le 
systeme d'exploitation est execute dans la memoire DRAM 109. 

La realisation de la presente invention utilise de la memoire FLASH comme support de 
stockage permanente pour le microcontroleur 100. Le choix d'une telle memoire FLASH peut 
permettre une mise a jour tres facile du systeme d'exploitation initialernent programme en usine. 

Selon la realisation de la presente invention, les heures et les dates sont donnees, sauf mention 
contraire, par rapport au meridien origine des fuseaux horaires GMT (Greenwich Mean Time). 
Ainsi lors de la mise a Theure durant la programmation du microcontroleur 100 en usine, cette 
reference est prise pour Fhorloge interne 104 du microcontroleur 100 des lecteurs LCL. 

Apres programmation, le systeme de microfusibles est detruit ce qui empeche definitivement 
une nouvelle programmation du microcontroleur 100, il n'y a plus alors d'acces directs a Pinterieur 
du microcontroleur 100, car tous les controleurs et interfaces sont totalement sous le controle du 
processeur maitre CPU1 (selon la construction du microcontroleur 100). Le systeme d'exploitation 
du microcontroleur 100 ainsi programme est automatiquement charge par le processeur maitre 
CPU 1 a chaque demarrage d'un lecteur LCL. 

Ainsi l'integralite des informations qui sont stockees dans la memoire interne du 
microcontroleur 100 sont securisees contre toutes tentatives de controle electronique externe au 
microcontroleur 100. Compte tenu des proprietes physiques d'une pastille de silicium, de sa taille 
et de son boitier, il offre dans 1'etat actuel de l'art une tres bonne protection physique et logique 
contre toutes tentatives d'intrusions non autorisees dans les circuits internes du microcontroleur 
100. Selon des modes particuliers de realisation, des techniques de protection supplementaires 
peuvent toutefois etre ajoutees autour du microcontroleur 100. Une des techniques possibles 
concerne 1'utilisation d'un dispositif electrique externe de protection de circuits integres, presente 
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dans le brevet de la societe IBM en 1990 (U.S. Patent 5,117,457). 

Le systeme electronique esclave 120 sert a executer des programmes venant de l'exterieur du 
microcontroleur, c'est a dire n'appartenant pas au systeme d' exploitation qui a ete charge dans la 
memoire FLASH 111 lors de la programmation du microcontroleur 100. II permet d'executer des 
5 programmes a l'abri des attaques de virus informatiques eventuels. La securite est complete par 
rapport a ces attaques grace a une protection physique caracterisee par une separation logique 
d'une meme pastille de silicium en deux parties 120 et 130 dont Tun 120 est esclave de l'autre 130. 

Selon la realisation de la presente invention, la zone memoire DRAM 109 est strictement 
reservee a 1' execution du systeme d 1 exploitation du microcontroleur 100 qui a ete charge en usine, 

10 lors de la procedure de programmation du microcontroleur 100. II sert aussi de memoire tampon 
pour transferer les programmes et/ou donnees venant de l'exterieur du microcontroleur vers la 
memoire DRAM 110 via 1' interface 106 controlee uniquement par le processeur maitre CPU1 . Les 
programmes venant de l'exterieur sont executer a partir de la memoire DRAM 110, par le 
processeur esclave CPU2 controle par le processeur maitre CPU1 via le controleur 113. 

15 Selon la realisation de la presente invention, par rapport F utilisations des lecteurs LCL avec 

differents types d'ordinateur et de systemes d'exploitations, et compte tenu de Tecriture des 
fonctions F 0 precedemment decrites, le CPU2 est un processeur Java (PicoJava) de la societe Sun 
Microsystems. Cette caracteristique rend le developpement des fonctions {F 0 , F,,...,Fi, ...F n } 
independant des ressources de calculs de l'ordinateur qui execute un logiciel protege selon la 

20 presente invention, et des ressources internes du LCL. De plus, le concepteur de logiciels proteges 
par la presente invention, peut tester le fonctionnement des fonctions {F 0 > Fi,...,Fj, ...F n } 
independamment du lecteur LCL avec un programme simulant une machine virtuelle JAVA. 

Selon la realisation de la presente invention, CPU1 est un processeur du type 80386SX. II peut 
done utiliser directement via son bus interne 101 une grande quantite de memoires internes et/ou 

25 externes. Sa capacite de calculs permet d'envisager une forte capacite de traitements 
d' informations en multitache. 

Selon des modes particuliers de realisation, le microcontroleur peut ne pas utiliser de 
processeurs JAVA, mais un processeur du type 80386SX dont le systeme d'exploitation serait la 
machine virtuelle JAVA de la societe Sun Microsystems que le CPU1 chargerait a chaque nouvelle 

30 execution de programmes dans la DRAM 1.10 afm d'eviter d'eventuelles attaques. de virus 
informatiques. 

De plus, selon la realisation de la presente invention, la totalite des informations eventuelles 
de la memoire DRAM 1 10 est effacee par CPU1 avant chaque nouveau chargement de programmes 
qui doivent etre executes par CPU2. CPU1 met en pause CPU2 par l'intermediaire du controleur de 
35 CPU2 1 13, et efface, par exemple par une deactivation momentanee des circuits qui composent le 
module de memoires DRAM 1 10, le contenu de cette memoire DRAM 1 10 grace aTinterface 106. 
Ensuite, CPU1 charge les parametres d' execution et le nouveau programme a executer dans la 
DRAM 110 directement grace au controleur DMA 107. Ce chargement direct permet de ne pas 
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utiliser CPU2 et de permettre au CPU1 de controler completement la DRAM 110. Ainsi, apres 
chargernent du programme, CPU1 donne alors la main a CPU2 par rinteimediaire du controleur de 
CPU2 113. CPU2 execute alors le nouveau programme. Ainsi compte tenu de toutes ces mesures, 
si ce programme est un virus informatique volontairement inscrit dans une des fonctions de type Fj, 
il ne pourra toutefois porter aucunes atteintes au .fonctionnement du microcontroleur . 1 00, ni 
recopier vers Texterieur des donnees non effacees concernants les anciennes fonctions qui ont ete 
executees par CPU2 dans la memoire DRAM 1 10. De plus, CPU1 conserve le controle des acces 
aux donnees contenues sa partie 130. Cette procedure de chargernent de programme et/ou de 
donnees dans la DRAM 110, est repetee pour chaque programme qui doit etre execute par le 
processeur esclave CPU2. 

Selon la realisation de la presente invention, Tarchitecture presentee par la figure 3, permet 
d'empecher un programme n'appartenant pas au systeme d'exploitation.du microcontroleur 100 
d'effectuer des lectures et/ou modification dans la memoire interne du systeme 130 integre dans le 
microcontroleur 100. II permet aussi d'empecher ces programmes de controler les interfaces et/ou 
controleurs du microcontroleur 100, et done d'empecher des pirates de lire le contenu des 
memoires securisees physiquement et logiquement du systeme 130, integrees dans le 
microcontroleur 100. 

De plus, selon la presente invention, Tinterface bus externe 105 permet au microcontroleur 
100 de controler des peripheriques externes relies au bus externe 114. Ce bus permet d'ajouter au 
LCL des peripheriques d'enregistrement comme par exemple un media d'enregistrement du type 
Flash Disk (memoire FLASH utilise un disque standard), un peripherique de communication 
reseau. 

L' architecture du microcontroleur 100 permet une grande modularite de fonctionnement 
Selon la realisation de la presente invention, on connecte sur ce bus 1 14 un peripherique d'acces 
reseau Ethernet pour une communication en protocole TPC/IP. Selon le type de communication 
utilise entre un lecteur LCL et un ordinateur donne, on pourra connecter sur ce bus un peripherique 
adequat a cette communication. Ainsi, on peut ajouter un peripherique radio recepteur 22, pour 
utiliser un lecteur LCL dans le contexte 20 de la figure 1 . L'usage de ce recepteur sera defini par la 
suite. 

Selon la realisation de la presente invention, compte tenu du controleur PCMCIA 154 integre 
dans le microcontroleur 100, les peripheriques utilises peuvent etre aussi des cartes PCMCIA 
utilisee par le microcontroleur 100 pour toutes operations relatives a la presente invention. Ces 
cartes PCMCIA peuvent etre des cartes Ethernet PCMCIA, des cartes FLASH PCMCIA, un disque 
dur PCMCIA, une carte module de receptions numeriques hertziennes PCMCIA. Ces differentes 
cartes ne sont pas illustrees. L'usage du controleur PCMCIA permet d'ajouter a un lecteur LCL 
donne des peripheriques plus facilement par rapport au bus externe 114. Le port USB 150 sert a 
une connexion a grande vitesse de transmission et de receptions entre un ordinateur, et un lecteur 
LCL donne. II s'agit des contextes 30 et 20. 
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Le port d'E/S 151 permet selon la realisation de la presente invention, de communiquer avec 
une carte CL. 

En reference a la figure 5, la carte electronique CL 60 est construite autour d'un 
microcontroleur 400 integrant sur une meme pastille de silicium un processeur CPU 405 relie par 
un bus interne 406 a un module de memoires Flash 401, un module de memoires OTP EPROM 
407, un module de memoires DRAM 404, un Port Serie E/S RS232 403, un controleur de 
CompactFlash 402 de la societe SanDisk. 

Selon une variante non illustree, le microcontroleur integre sur une meme surface de pastille 
de silicium un coprocesseur de cryptage DES pour permettre au CPU d'effectuer des operations de 
cryptage plus rapidernent. 

Selon la realisation de la presente invention, les acces en lecture dans le module de memoires 
OTPEPROM directement de 1'exterieur du microcontroleur 400 sont supprimes, afin de laisser tous 
les acces aux circuits internes du microcontroleur 400 sous le controle unique du processeur CPU 
405. La presente invention ne requiert pas 1'utilisation d'une grande puissance de calcul au niveau 
du processeur CPU 405 integre dans le microcontroleur 400. : l - 

Ce microcontroleur 400 comporte un moyen de securiser la lecture et/ou la modification 
illicite des informations qui sont contenues dans sa memoire interne. Une methode de securisation 
des acces en memoires est proposee dans le brevet U.S. Pat. 5,293,424 date du 8 mars 1994. 

Selon la presente invention, la memoire OTP EPROM interne 407 sert a stocker des cles de 
cryptage, des numeros de serie d' identification, des dates, le systeme d' exploitation du 
microcontroleur 400 realisant directement et/ou indirectement des fonctions relatives a son 
utilisation selon la presente invention. 

Selon la realisation de la presente invention, la memoire FLASH interne 40 1 sert a stocker de 
maniere permanente des donnees supplementaires apres la sortie d'usine de la carte CL. Elle sert 
aussi a stocker des programmes supplementaires qui permettent au microcontroleur 400 de realiser 
directement et/ou indirectement des fonctions supplementaires relatives a son utilisation selon la 
presente invention apres la sortie d'usine de la carte CL. 

Selon la realisation de la presente invention, et de maniere generate, la carte CL est alimentee 
electriquement par LCL lorsqu'elle est connectee a LCL. Cette liaison electrique n'est pas illustree. 

Selon la presente invention; le microcontroleur 400 est protege contre toute modification des 
informations qu'il contient. II s'agit d'un microcontroleur similaire a ceux des cartes a puces. II est 
relie a un connecteur femelle 63 qui permet de communiquer par contact avec un lecteur LCL 
donne. 

Selon la presente invention, la carte CL est un appareil portatif de petite taille possedant une 
unite de stockage amovible de forte capacite. 

Selon la realisation de la presente invention, le microcontroleur 400 est relie a la sortie de son 
controleur de CompactFlash a un support de connexion 64 pour modules de memoires de type 
CompactFlash. 



WO 99/39256 PCT/FR99/00182 

- 18- 

Selon des modes particuliers de realisation, le controleur de CompactFlash peut- ne pas etre 
integre sur la meme pastille de silicium que le microcontroleur 400. II peut aussi utiliser un autre 
media d'enregistrement telle que des modules DiskOnChip de la societe M-Systems ou tout autre 
systeme proprietaire et amovible de memoires non volatiles. 
5 Dans l'etat actuel de Tart, des microcontroleurs possedant les caracteristiques du 

microcontroleur 400 sont tres nombreux. Selon la realisation de la presente invention, un 
microcontroleur 32 bits RISC presentant les caracteristiques du microcontroleur 400 a ete integre 
sur une meme pastille de silicium avec le controleur de carte CompactFlash. Cette integration 
utilise les technologies d 1 integrations ASIC (Application Specific Integrated Circuit). 
10 Ainsi, Tintegralite des informations qui sont stockees dans la memoire interne du 

microcontroleur 400 est securisee contre toutes tentatives de controles electroniques externes. 

Selon la presente invention, la carte CL est un appareil portatif de petite taille. II permet de 
transporter les informations concernant l'utilisation de logiciels proteges, independamment du 
lecteur electronique LCL. Elle est utilisee comme une cle d'acces a V utilisation de logiciels 
15 proteges selon la presente invention. Sa portability permet a un utilisateur d'utiliser les logiciels 
dont il a achete les droits d'utilisation (licences). sur tout ordinateur qui possederait ces logiciels. 

Selon la realisation de la presente invention, le format geometrique de CL est compris entre 
celui de la carte CompactFlash est celui d'une carte PCMCIA. 

En reference a la figure 6, un trou 62 a ete place dans un coin du boitier 60 representant CL. 
20 Ainsi, la carte CL peut etre attachee a un porte-cles mecanique. Selon la realisation de la presente 
invention, le numero de serie ID.c non illustre d'une carte CL donnee est imprime sur le boitier 60 
de CL. 

De plus, selon la presente invention, en reference a la figure 7, le module de memoires 
CompactFlash 61 est detachable du boitier 60 via le systeme de support de connexion 64 pour carte 
25 CompactFlash. 

En reference a la figure 8 et selon la realisation de la presente invention, la carte CL se 
connecte par contact avec un lecteur LCL via un jeu de deux connecteurs male femelle. Une carte 
CL possede un connecteur femelle 63 qu'il connecte sur le connecteur 210 male correspondant du 
lecteur LCL. Ces jeux de connecteurs permettent une communication serie RS232 entre LCL et CL 
30 par contact. De plus, il permet d'apporter de l'energie electrique aux circuits electroniques de la 
carte CL. Selon la realisation de la presente invention, le lecteur LCL est alimente sur secteur. 

Selon des modes particuliers de realisation non illustres, CL peut avoir sa propre alimentation 
electrique pour permettre un fonctionnement autonome. Selon ces modes particuliers de realisation, 
on peut integrer dans CL un module de communication hertzienne ou infrarouge pour permettre des 
35 communications sans contacts avec LCL. Un exemple d'un tel dispositif est apporte par Hough 
dans. U.S. Pat. No. 5,412,253. Bien sure, le lecteur LCL possede dans, ces conditions les ports de 
communications adequats. - 

Selon la realisation de la presente invention, toutes les cles de codages ecrites en usine lors de 
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la programmation des appareils de type LCL et CL sont des cles de 128 bits definics par rapport a 
Talgorithme DES. Ainsi, compte tenu de la presente description de Finvention, un module de 
memoires OTP EPROM de 256 kilooctets, un module de memoires Flash de 64 kilooctets, un 
module de memoire DRAM de 512 kilooctets ont ete integre avec le CPU 405 (processeur RISC), 
le Port Serie E/S RS232 403 et le controleur de carte CompactFlash sur une meme pastille de 
silicium. Bien entendu, d'autres tailles plus grandes de memoires peuvent etre utilisees en fonction 
des disponibilites des macros d' integration ASIC et de leur cout. Ces quantites sont donnees par 
rapport a la presente realisation. 

Par ailleurs, selon la realisation de la presente invention, la taille retenue pour le module de 
memoire Flash 1 1 1, est de 1 megaoctets. La taille retenue pour le module de memoire DRAM 109, 
est de 2 megaoctets. La taille retenue pour le module de memoire DRAM 1 10 est de 1 megaoctet. 
Ces quantites sont donnees par rapport a la presente realisation. 

L'ensemble des programmes relatifs aux fonctionnalites du lecteur LCL constitue le systeme 
d' exploitation interne du microcontroleur 100. Ce systeme d' exploitation est enregistre dans la 
memoire Flash 1 1 1 du microcontroleur 100 lors de sa programmation en usine. 

L' ensemble des programmes relatifs aux fonctionnalites de la carte CL constitue le systeme 
d'exploitation interne du microcontroleur 400. Ce systeme d' exploitation est enregistre dans la 
memoire OTP EPROM 407 du microcontroleur 400 lors de sa programmation en usine. 

Selon la presente invention, les communications entre LCL et CL sont securisees. La presente 
invention concerne Tutilisation d'une methode d'authentification permettant a un groupe 
d'appareils quelconques de se reconnaitre a Taide de cette methode. Cette authentification permet 
que seuls les appareils relatifs a la presente invention, certifies par l'organisme qui gere le serveur 
aSVR, puissent fonctionner ensemble. Cette methode selon la presente invention, permet 
d'empecher que des appareils non reconnus par l'organisme qui gere les appareils relatifs a la 
presente invention, ne puissent fonctionner avec ceux reconnus. Cette methode empeche ainsi des 
appareils pirates d'effectuer des lectures de donnees dans les memoires electroniques securisees des 
appareils relatifs a la presente invention. 

La presente invention concerne des appareils qui ne peuvent etre utilises que pendant une 
duree determiner dans le temps. Pour la realisation, les appareils LCL et CL sont tous caracterises 
par une date DB de mise en service et une date DE qui indique que l'utilisation de ces appareils 
relatifs a la presente invention, expire fin DE. DB et DE constitue une information publique non 
modifiable. 

Ainsi, selon la realisation de la presente invention, la date DB du lecteur LCL, notee DB.d, est 
ecrite lors de la programmation en usine du microcontroleur 100, dans une zone libre de la 
memoire Flash 111. De plus, la date DE d'un lecteur LCL, notee DE.d, est ecrite lors de la 
programmation en usine du microcontroleur 100, dans une zone libre de la memoire Flash 111. 

De plus, selon la realisation de la presente invention, la date DB de CL, notee DB.c, est ecrite 
lors de la programmation en usine du microcontroleur 400, dans une zone libre de la memoire 
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Flash 401. De plus, la date DE d'une carte CL, notee DE.c, est ecrite lors de la programmation en 
usine du microcontroleur 400, dans une zone libre de la memoire OTPEPROM 407. • 

Ainsi, selon la realisation de la presente invention, Torganisme qui gere aSVR genere pour 
chaque semaine du calendrier international qui commence le lundi et qui se termine fin dimanche 
5 une cle kLi. La cle kLl est la premiere cle qui a ete generee pour la premiere semaine ou les 
premiers appareils relatifs a la presente invention, ont ete mise en service. La cle kLi indique la cle 
de la semaine i par rapport a cette premiere semaine. Toutes ces cles sont entierement creees et 
gardees secretement par Torganisme qui gere le serveur aSVR afin de garantir la securite 
d'utilisation des appareils relatifs a la presente invention. 

10 Selon la realisation de la presente invention, pour une carte CL consideree, lors de la 

procedure de programmation de son microcontroleur 400, la cle secrete de codage kLj est ecrite 
dans une zone libre de la memoire OTPEPROM 407. Cette cle secrete kLj correspond a la semaine 
j par rapport a la premiere semaine ou les premiers appareils relatifs a la presente invention, ont ete 
mise en service. La cle kLj a ete choisie de telle sorte que la semaine j contient la date DB de la 

15 mise en service de cette carte CL. Cette cle secrete ne sera jamais revelee a l'utilisateur. Par 
ailleurs, elle est connue uniquement par Torganisme qui gere le serveur aSVR. 

De plus, selon la realisation de la presente invention, pour un lecteur LCL considere, lors de la 
procedure de programmation de son microcontroleur 100, la liste de cles secretes de codage 
{kLHj,kLj +2 ,kL^3,...,kLi+ m } correspondant a toutes les cles associees aux semaines comprises entre 

20 la date DB.d diminuee de 1460 jours et la date DE.d, sont stockees dans la memoire Flash 1 1 1 du 
microcontroleur 100. Bien entendu, leurs adresses memoires suivent une convention adoptee pour 
permettre de les retrouver dans la memoire 111. Ces cles secretes sont par ailleurs connues 
uniquement par Torganisme qui gere le serveur aSVR. Toutes ces cles secretes qui viennent d'etre 
citees, sont generees par rapport a Talgorithme de cryptage DES. Chacune de ces cles secretes a 

25 une taillede 128 bits. 

Selon la realisation de la presente invention, la duree qui separe une date de mise en service 
DB et une date de fin d'utilisation DE des appareils relatifs a la presente invention, est de 1461 
jours (4 ans). Ainsi {kLi +1 ,kL i+2 ,kLi + 3,...,kL i+n) } n'occupe pas plus de 7 000 octets (approximation 
volontairement excessive) dans la memoire Flash du microcontroleur 100 d'un LCL donnee. La 

30 figure 4 permet de comprendre le choix du nombre de cles dans la liste {kLi+i,kLi +2s kLi;3 J ...,kLi + ni}- 
Ce nombre est du a 1'existence des appareils les plus anciens, encore en service a la date DB.d de 
mise en service du LCL considere. Compte tenu de la capacite des memoires Flash integrees au 
sein d'un microcontroleur 100, la totalite des cles {kL i+1 ,kLi +2 ,kLi + 3,...,kL^ m } peut done etre 
stockee avec le systeme d'exploitation microcontroleur 100. 

35 Ainsi, la realisation de ladite procedure d'authentification est basee sur l'utilisation judicieuse 

de toutes ces cles. Le nombre de cles employees permet a ce que si une cle venait a etre cassee, le 
fonctionnement lie a 1' authentication par rapport a cette cle, ne mette pas en echec l'ensemble du 
systeme relatif a la presente invention. 
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En reference a la figure 10, pour Tutilisation de LCL, dans un premier temps, un lecteur LCL 
ne peut fonctionner que si la date courante indiquee par Thorloge temps reel interne 104 du 
microcontroleur 100 de LCL est comprise entre les dates DB.d et DE.d du meme LCL. Autrement 
la suite ne peut aboutir 551 . Cette condition est illustree sur la figure 10 par r element 501 
5 Dans un deuxieme temps, en reference a l'etape 502, pour mettre en fonctionnement un 

lecteur LCL, l'utilisateur doit effectuer une operation d'identification detaillee par la suite. 

Dans un troisieme temps, pour mettre en fonctionnement une carte CL, Tutilisateur doit 
connecter d'abord sa carte CL (etape 503) sur le support de type male de connexion 210 possede 
par le lecteur LCL, pour permettre une communication par contact entre le lecteur LCL et la carte 
10 CL. Le support de type male 210 du lecteur LCL est relie au port E/S RS232 151 du 
microcontroleur 100. La carte CL possede done un connecteur femelle 63 relie au port E/S RS232 
403 de son microcontroleur 400. L'utilisateur doit effectuer ensuite une operation d'identification 
decrite par la suite. 

Selon la realisation de la presente invention, dans un quatrieme temps 504, le microcontroleur 
15 400 de la carte CL envoie sous une forme non codee sa date de mise en service DB.c au 
microcontroleur du LCL via ladite liaison RS232. Si un pirate modifier la valeur DB.c transmise, la 
suite de la presente description ne pourra aboutir avec succes. 

De l'autre cote et apres reception de DB.c, dans un cinquieme temps 505, le processeur CPU1 
du microcontroleur 100 de LCL effectue une correspondance entre DB.c et une cle secrete notee 
20 kLj.d elements de la liste {kL i+1 ,kL i+ 2,kLi + 3,...,kLi +ni } de telle sorte que la semaine j associee a 
kLj.d selon la presente invention contienne DB.c. 

Dans un sixieme temps 506, le processeur CPU1 genere une cle kCS de 128 bits par rapport 
au cryptage DES, a Taide de son generateur de nombres aleatoires 112. kCS est conservees 
secretement dans la memoire interne DRAM 109 du microcontroleur 100. 
25 Selon la presente invention, kCS est codee ensuite par kLj.d puis envoyee sous sa forme 

codee, notee ekCS, vers le microcontroleur de CL. 

Dans un septieme temps 507, a reception de ekCS, la carte CL tente de decoder ekCS avec sa 
cle secrete kLj. Selon la presente invention, si le decodage reussit, ladite procedure 
d' authentication a reussi. Le microcontroleur de CL utilisera alors la cle kCS pour envoyee des 
30 informations codees vers LCL, et pour decodee des informations venant par la suite de LCL. Le 
microcontroleur 400 de la carte CL stocke dans sa memoire interne securisee DRAM 404 cette cle 
secrete kCSr 

Ainsi, selon la realisation de la presente invention, dans un huitieme temps 508, le 
microcontroleur de CL envoie ensuite la date d' expiration DE.c associee a CL sous une forme 
35 codee par la cle kCS vers le microcontroleur du lecteur LCL. 

A reception, dans un neuvieme temps 509, CPU1 verifie si DE.c n'est pas depasse par rapport 
a la date courante donnee par Thorloge interne du microcontroleur 100 de LCL. Si cette date est 
depassee, LCL refusera de poursuivre la communication avec la carte CL 552. Sinon, une 



WO 99/39256 PCT/FR99/001 82 

-22- 

communication securisee entre LCL et CL peut avoir lieu 559. 

Ainsi, chaque session de communication entre LCL et GL qui commence par leur connexion 
par contact et qui se termine lorsque 1' une des conditions suivantes est remplie : CL est deconnecte 
de LCL, la date courante indiquee par Thorloge 104 a depasse la date DE.c, la date courante 
5 indiquee par Thorloge 104 a depasse la date DE.d. La deconnexion de la carte CL du lecteur LCL 
est marquee par Tabsence de charge a la sortie de Talimentation electrique utilisee pour alimenter 
les circuits electroniques de la carte CL. 

De plus, selon la presente invention, toutes les communications entre le lecteur LCL et la carte 
CL sont securisees par Tutilisation d'une methode de cryptage symetrique utilisant une cle secrete, 
10 noteekCS. 

Selon la realisation de la presente invention, 1'utilisateur qui desire faire fonctionner un 
appareil relatif a la presente invention, doit saisir sur le clavier de son lecteur LCL controle par le 
microcontroleur 100 par rintermediaire du controleur de claviers et ecrans LCD 155, un code PIN. 
Au moment de sa saisie, les chiffres tapes seront inscrits sur Tecran LCD non illustre et controle 

15 par le controleur 155. Ce code lui a ete fourni lors de la premiere acquisition (V achat) de Tappareil 
en question. Le code PIN est un code numerique de 5 chiffres associe a chaque appareil. II doit etre 
conserve secretement par le proprietaire de 1'appareil correspondant. L'utilisation d'un tel code est 
similaire a celui utilise avec des methodes d'identification presente dans le monde des cartes a 
puces (SmartCard) dans 1'etat actuel de Tart. Les etapes qui permettent de verifier la saisie correcte 

20 du code PIN associe a chaque appareil selon la presente invention, sont evidente et ne sont pas 
detaillee dans la presente description de l'invention. II faut toutefois ajouter que le code PIN d'une 
carte CL est saisi sur le clavier du LCL, puis transmis sous sa forme non codee, vers le 
microcontroleur 400 de la carte CL, via la liaison serie RS232 presente entre une carte CL donnee 
et un lecteur LCL donnee. II est done sous-entendu, sauf mention contraire, dans un fonctionnent 

25 correct d'un appareil relatif a la presente invention, que la saisie du code PIN a ete menee avec 
succes. 

La presente invention concerne l'utilisation d'une carte CL comme media d'enregistrement 
portatif, securise contenant des fichiers d'autorisation d'utilisation de tous les logiciels proteges 
selon la presente invention, et acquis legalement par l'utilisateur et separement de 1'acquisition du 

30 ' logiciel (le media d'enregistrement). Ces fichiers ont ete enregistres dans la carte CL en suivant une 
procedure d' acquisition de logiciels decrite par la suite. 

Selon la realisation de la presente invention, un fichier d'autorisations d'utilisation d'un 
logiciel donne ayant le numero de serie S#, note Fich.S#, est defini comme un fichier binaire dont 
les bits de donnees sont ordonnes de la fa?on suivante : S# du logiciel (128 bits), ID.c (128 bits), 

35 nombre de licences (L#.S# : 16 bits), derniere utilisation (DR.S# : Jour 5 bits, mois 4 bits, annee 12 
bits, heure 5 bits, minutes 6 bits, secondes 6 bits), premiere utilisation (DP.S# : date et heure 38 
bits), duree d'utilisation courant (DU.S# en minutes : 24 bits), nombre d'executions du logiciel (28 
bits), donnees diverses (Misc :1024 bits), cle kEL.S (128 bits), cle kX.S# (128 bits). Le total est de 
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1 680 bits, soil un fichier de 2 1 0 octets. 

Selon la realisation de la presente invention, une carte de type CompactFlash 61 distribute par 
la societe SanDisk d'une capacite de stockage de 4 megaoctets est inseree comme indique sur la 
figure 7 sur un support de connexion 64 adapte et present sur la carte CL, pour permettre la 
5 connexion de cette carte CompactFlash vers le controleur de cartes CompactFlash 402 du 
microcontroleur 400. Les cartes CompactFlash sont compatibles avec le standard ATA des cartes 
PCMCIA dans l'etat actuel de Tart. Ces modules de memoires CompactFlash sont utilises comme 
des disques de stockage d' informations. Les instructions necessaires concernant l'ecriture du driver 
qui permet au microcontroleur 400 d'utiliser le module CompactFlash de 4 megaoctets sont donnee 

10 par le standard ATA. Ce driver non illustre, permet selon la realisation de la presente invention, au 
microcontroleur d'effectuer les operations suivantes sur la carte CompactFlash : lectures de 
fichiers, modifications de fichiers, creations de fichiers. 

Ainsi, selon la realisation de la presente invention, la carte CL permet de stocker plus de 
10000 fichiers d'autorisations d'utilisation de logiciels proteges selon la presente invention. Ce 

15 nombre est largement suffisant pour tous les logiciels proteges par la presente invention,, qu'un 
utilisateur peut acquerir legalement. Toutefois, l'utilisateur pouira changer de cartes CompactFlash 
pour une plus grande capacite de stockage. Compte tenu de la norme ATA, ce changement ne 
necessite ni de mise a jour des programmes systeme du microcontroleur 400, ni de changement du 
boltier 60 et du support pour carte CompactFlash 64. 

20 Selon la presente invention, les informations stockees sur la carte CL, concernant les 

autorisations d'utilisation de logiciels proteges selon la presente invention, ne dependent pas du 
media d'enregistrement mais de l'entite carte electronique CL. Ainsi, un utilisateur d'une carte CL 
pourra utiliser plusieurs cartes CompactFlash pour stocker des fichiers de type Fich.S#. Les 
donnees qui sont stockees sur une premiere carte CompactFlash associee a une carte CL donnee 

25 peuvent etre transferees vers une deuxieme carte CompactFlash. Cette operation est effectuee a 
Taide du programme PGM precedemment cite. 

Selon la presente invention, les fichiers d'autorisations Fich.S# sont stockes sous une forme 
codee, notees eFich.S#, avec une cle secrete kS.c de 128 bits par rapport a la technique de cryptage 
DES, dans la carte CompactFlash utilisee comme un disque de stockage. La cle secrete kS.c a ete 

30 inscrite dans la memoire OTPEPROM 407 lors de la programmation en usine du. microcontroleur 
400. 

Ainsi, eFich.S# ne pourra etre utilise que par la carte CL qui l'a cree, car la cle secrete kS.c est 
differente pour chaque carte CL mise en service. 

De plus, la presente invention concerne une rnethode qui permet de separer l'acquisition du 
35 media d'enregistrement contenant un ou des logiciel(s) protege(s) par la presente invention, du 
droit d'utilisation de ce ou ces logiciel(s). 

Selon la realisation de la presente invention, les medias d'enregistrement de logiciels proteges 
selon la presente invention, sont librement distribues. Cependant, un logiciel protege selon la 
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presente invention, ne peut etre execute uniquement qu'apres une operation cTacquisition legale 
d'un fichier Fich.S# d'autorisation d'utilisation de ce logiciel numerote S#. Ainsi; en reference a la 
figure 2, lorsqu'un utilisateur desire obtenir une ou des licences d'utilisation, il doit connecter tout 
d'abord son lecteur LCL avec le serveur aSVR, a 1'aide du programme PGM. Selon la realisation 
5 de la presente invention, cette connexion est etablie via le reseau Internet. 

Pour commencer a acquerir une autorisation (une ou des licence(s)) d' utilisations d'un logiciel 
numerote S# et proteges selon la presente invention, Futilisateur commence par connecter sa carte 
CL sur ledit lecteur LCL donne. L'utilisateur doit maintenir sa carte CL connectee au moins 
jusqu'a la fin de la presente procedure d'achat en ligne (avec connexion). On suppose que 

10 l'utilisateur veut acquerir NL nombre(s) de licences d'utilisation de ce logiciel numerote S#. II 
saisit ensuite le code PIN de sa carte CL sur le clavier dudit lecteur LCL. L'operation 
d'authentification precedemment citee doit aboutir avec succes pour continuer. 

Ainsi, en reference a la figure 1 1, selon la realisation de la presente invention, au debut de la 
connexion avec aSVR, ledit lecteur LCL communique a aSVR son numero ID.d (etape 601). Dans 

15 ce contexte de communication, aSVR est le systeme distant represents sur la figure 2. Bien sure, les 
operations commerciales qui sous-entend que aSVR accepte une communication avec ledit lecteur 
LCL sont sous-entendues. Le programme PGM envoie ensuite vers aSVR le numero de serie S# 
dudit logiciel, saisie par l'utilisateur (acheteur), et le nombre NL. Ces deux informations sont 
envoyees sous une forme codee par la cle secrete kT.d du lecteur LCL de l'utilisateur. 

20 De plus, la realisation de la presente invention considere que le concepteur dudit logiciel au 

numero de serie S# dispose lui aussi d'un serveur note dSVR, non illustre et relie par le reseau 
Internet a aSVR. Le serveur dSVR est connecte de son cote avec le lecteur LCL dudit concepteur. 
Bien entendu, cela suppose que le systeme d 'exploitation d'un lecteur LCL soit programme de telle 
sorte qu'il puisse repondre a certaine requete relative a la presente procedure d'achat du serveur 

25 dSVR. Ainsi (etape 602), dSVR communique ensuite a aSVR le numero ID.d de son lecteur LCL 
qui a servi a creer le logiciel S# protege selon la presente invention. La communication entre dSVR 
et le lecteur LCL se passe comme sur la figure 2 ou 1'ordinateur 50 est represente ici par le serveur 
dSVR. 

Pour permettre une communication sur deux niveaux, le lecteur LCL de l'utilisateur 
30 communique a aSVR (etape 603) sous une forme codee une cle publique, notee kP: La cle kP est 
codee avec la cle secrete kT.d du LCL de l' utilisateur. kP est une cle publique, relative a la 
technique de cryptage RSA (Rivest, Shamir et Adleman). La cle kP est creee avec sa cle privee kV 
pour l'occasion (dynamiquement) et effacee a la fin de cette procedure d'acquisition de licences. 
La forme codee par ladite cle kT.d de kP est notee ekP.kT. De plus, il faut noter que aSVR ne 
35 connait pas la valeur de la cle privee kV associee a kP. Le codage systematique des informations 
lors de la communication evite d'eventuelles modifications des donnees echangees lors de leur 
transfert. 

A reception, aSVR decode ekP.kT a l'aide des informations qu'il possede concernant le 
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lecteur LCL de l'utilisateur. Selon la realisation de la presente invention, aSVR est seul en dehors 
de ce lecteur LCL, a connaitre la correspondance du numero ID.d avec la cle kT.d par rapport a un 
lecteur LCL doime. La cle kP est ensuite codee avec la cle secrete kT.d relative au lecteur LCL du 
concepteur du logiciel S# protege selon la presente invention. La nouvelle forme codee de kP est 
5 notee ekP.kT2. Ensuite, aSVR communique ekP.kT2 604 au lecteur LCL du concepteur via le 
serveur dSVR. De cette maniere, 1'utilisation des techniques de protection de logiciels selon la 
presente invention, cree une dependance entre le concepteur de logiciels proteges selon la presente 
invention, et l'organisme qui gere aSVR. Ainsi, Le concepteur de logiciel n'a pas a constituer des 
stocks autre qu'un stock de medias d'enregistrement contenant le logiciel protege selon la presente 
1 0 invention. 

A reception, le lecteur LCL dudit concepteur decode ekP.kT2 avec sa cle kT.d. Avec la cle 
public kP, LCL relatif au concepteur code ensuite kEL.S# genere lors de la procedure de creation 
du logiciel S# protege selon la presente invention avec la cle kP. La forme codee de kEL.S# par kP 
est notee ekEL. Selon des variantes non illustrees, apres avoir decode ekP.kT2, ledit peut 

1 5 communiquer kP au serveur dSVR afin de lui laisser le codage de la cle kEL.S# par la cle kP. Mais 
ces vanantes ne changent en rien quant au principe fondamentale de la presente invention. 

Selon la realisation de la presente invention, dSVR re^oit ensuite de aSVR la valeur de NL. 
NL permet au concepteur de logiciels proteges selon la presente invention, d'effectuer une 
comptabilite avec l'organisme qui gere aSVR. Selon une variante de la presente procedure 

20 d'acquisition d'autorisation d'utilisations, dSVR envoie apres reception de la cle kP, une cle public 
kPUB relatif au cryptage RSA vers le LCL de l'utilisateur (acheteur) via aSVR. Cette variante 
permet au programme PGM connecte avec le lecteur LCL de l'utilisateur, de retourner a dSVR par 
l'lntermediaire de aSVR, la valeur codee avec kPUB de NL. Cette variante permet a ce que dSVR 
ne se fie pas a la bonne sincerite de aSVR. Ainsi, cette variante permet a dSVR de.controler 

25 exactement le nombre de licences vendues. 

Selon la realisation de la presente invention, dSVR envoie ensuite (etape 605) ekEL a aSVR. 
Ce serveur aSVR envoie ensuite (etape 606) kX.S# sous une forme codee avec la cle kT.d (celui du 
lecteur LCL de l'utilisateur) vers le lecteur LCL de l'utilisateur. La cle kX.S# est une cle creee et 
stockee par aSVR lors de la procedure de protection precedemment decrite du logiciel LD 

30 numerate S#. Le serveur aSVR envoie ensuite vers - le lecteur LCL de Futilisateur, eKEL.'A 
reception, le lecteur LCL de Futilisateur decode eKEL par kV. II obtient done kEL.S#. Ce lecteur 
LCL decode aussi la forme codee de kX.S# par sa cle kT.d. 

Selon la realisation de la presente invention, ledit lecteur LCL envoie ensuite a ladite carte CL, 
sous une forme codee avec la cle kCS obtenue lors de la procedure d' authentication 

35 precedemment decrite, les donnees suivantes : S#, NL qui correspond au nombre de licences 
demandees par Futilisateur a aSVR, kX.S#, kEL.S#, la date et Fheure courantes indiquees par 
Thorloge 104. 

Ainsi, le microcontroleur 400 de la carte CL decode les differentes donnees re9ues avec kCS. 
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Le microcontroleur 400 procede alors a la procedure (etape 607) de mise a jour qui suit. Le 
microcontroleur 400 verifie si un fichier code eFich.S# d'autorisation d'utilisation existe deja pour 
le logiciel en question numerote S#. Dans ce cas, il procede a sa modification en augmentant la 
valeur du champ L#.S# dans le fichier Fich.S# correspondant, de la valeur de NL. Dans le cas ou 
5 l'utilisateur aurait acquis une autorisation dependante du temps, bien entendu des mises a jour sur 
les champs correspondants sont effectuees dans le fichier Fich.S#. Pour la comprehension de la 
presente invention, certain point evident sont sous-entendu. 

S'il n'existe pas de fichier Fich.S# correspondant, un nouveau fichier Fich.S# est cree. Ainsi, 
selon la realisation de la presente invention, le microcontroleur 400 de la carte CL cree le fichier 

1 0 Fich.S# en remplissant les champs suivants du nouveau fichier : S#, L#.S#, ID.c numero de serie de 
la carte CL en question, kEL.S#, kX.S#. Les yaleurs de DR.S# et de DP.S# sont initialises par la 
valeur de l'heure et de la date courante. Les champs DU.S# et « nombre d'executions du logiciel » 
prennent evidemment la valeur nulle. Le champ Misc sert a stocker des valeurs liees a des besoins 
eventuels de defmir des champs d' informations supplementaires. Misc est initialement a zero. 

15 L#.S# prend la valeur de NL. 

Selon des modes particuliers de realisation non decrites, un utilisateur peut directement se 
connecter sur le serveur dSVR pour acheter des licences lorsque aSVR a communique la valeur de 
kX.S# d'un logiciel numerote S# protege selon la presente invention. Cette variante permet de 
decentraliser la vente des licences. 

20 Compte tenu du format des fichiers Fich.S# et de sa forme codee eFich.S#, seul une carte CL 

donnee et numerotee ID.c peut utiliser les fichiers Fich.S# correspondant a ID.c 

Selon la realisation de la presente invention, on considere un logiciel, note LD, ayant subi une 
procedure de protection selon la presente invention. Bien entendu, les explications qui suivent sont 
valables pour tout logiciel protege selon la presente invention. Pour permettre une explication, on 

25 considere son utilisation dans le cas ou Tordinateur hote est connecte a un lecteur LCL via un 
reseau de type Ethernet, en TCP/IP. C'est le cas du contexte 40. Le driver DRV precedemment 
citee permet de communiquer avec LCL par rapport au protocole TCP/IP. Selon la realisation de la 
presente invention, la couche TCP/IP est sous-entendu dans les propositions de communication 
entre le programme driver DRV et le lecteur LCL considere. 

30 Selon des modes particuliers de realisation non decrite, mais illustree par la figure 4, plusieurs 

LCL peuvent etre presents sur le reseau. Cependant, ces organisations ne change pas les 
caracteristiques de la presente invention. 

Selon la realisation de la presente invention, a Tobtention d'une ou plusieurs autorisation(s) 
d'utilisation du logiciel LD (licences d'utilisation), LD peut alors etre execute. 

35 Ainsi, au lancement du logiciel LD sur un ordinateur hote, la fonction FF 0 est executee en 

premier. De maniere generale; selon la realisation de la presente invention, toutes les fonctions FFj 
effectuent toutes une procedure commune : le chargement de eFj vers LCL. 
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Selon la realisation de la presente invention, lorsque le logiciel LD appelle une fonction 
donnee FFi, il lui transmet par passage de parametres en utilisant par exemple la pile du systeme de 
1' ordinateur bote, des informations parametres, notees PARAM, utilisees directement et/ou 
indirectement lors de l'execution eventuelle de la fonction Fj correspondant a FFj. Ensuite, FFj 
5 charge en memoire le contenu du fichier eF ; decrit precedemment. Puis, FFj appelle (au sens d'un 
appel de programmes informatiques) le driver DRV afin de lui communiquer les informations 
PARAM et l'adresse memoire oil se trouve eFj. Ces informations sont ensuite envoyees vers LCL a 
travers le reseau considere. Des parametres supplementaires peuvent etre rajoutes par une fonction 
FFj dans les parametres PARAM. Ainsi, PARAM contient notamment des informations relatives a 

10 Theure courante dans Tordinateur qui execute ladite fonction FFj. II contient aussi un identifiant 
unique representant cet ordinateur hote (par exemple Tadresse IP de cet ordinateur sur le reseau qui 
est fournie par le systeme d'exploitation de cet ordinateur) et le numero de serie S# du logiciel 
correspondant a ladite fonction FFj. Bien entendu, dans le cas d'un lecteur directement connecte sur 
un ordinateur (c'est le contexte 30 et 20), il n'y a pas de problemes d'identifiants uniques. Ainsi, on 

15 note l'identifiant unique de 1 'ordinateur IDIP. Cette variable est utilise par le microcontroleur 100 
du lecteur LCL pour gerer l'utilisation des logiciels en fonctions des postes d'ordinateurs. Bien 
entendu, le choix d'une adresse IP pour les valeurs possibles de la variable IDIP ne concerne que la 
presente realisation. Dans d'autres modes de realisation, IDIP pourra etre definie autrement. 

Ainsi, selon la realisation de la presente invention, lorsque le microcontroleur 100 du lecteur 

20 LCL aura termine le traitement des informations revues et en particulier l'execution de la fonction 
Fi correspondante, les resultats obtenus sont alors transports a nouveau vers ledit ordinateur hote a 
travers le reseau considere. A reception, DRV retourne les resultats a FFj qui les retourne au 
logiciel LD. Si la carte CL qui est connecte sur le lecteur LCL ne possede pas de licences 
d'utilisation pour le logiciel LD, alors LCL ne retournera pas de resultats mais un message 

25 indiquant a FF { de fermer l'execution du logiciel LD. Une fermeture d'execution peut etre donnee a 
FFi dans d'autre situation decrite par la suite. Ainsi, l'execution des fonctions Fj par le lecteur LCL 
cree une dependance physique du logiciel LD avec LCL. 

Ainsi, selon la realisation de la presente invention, au debut du lancement du logiciel LD, la 
fonction FF 0 associe a LD est executee. Durant l'execution de FF 0 associe audit logiciel LD aucune 

30 autre fonction de type FFi associee a LD ne doit etre executee. Des informations supplementaires 
seront donnees par la suite. FF 0 envoie eF 0( I'heure courant indiquee par T ordinateur qui execute 
FF 0 , les parametres d'execution PARAM de la fonction F 0 , la valeur S# associee au logiciel LD. 

A Tarrivee des resultats calcules par le microcontroleur 100 de LCL, FF 0 considere deux types 
de resultats. Le premier type concerne les resultats lies a l'execution de F 0 (F 0 doit etre une fonction 

35 compliquee de telle sorte que le logiciel LD en depend enormement) dans le microcontroleur 100. 
Dans la mesure oil ces resultats ne sont des messages d'erreurs, ces resultats sont retournes au 
logiciel LD pour continuer l'execution de LD. Le deuxieme type concerne une heure Htop par 
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rapport a l'horloge dudit ordinateur executant le logiciel LD. Cette indication de temps correspond 
au prochain moment ou FF 0 devra etre imperativement lance par le logiciel LD. 

De plus, I'ordre dans laquelle les autres fonctions FF; sont appelees, n'est pas previsible, car il 
depend de 1'utilisation de LD. 
5 Selon la realisation de la presente invention, 1' execution de FF 0 est volontairement longue, de 

I'ordre de 1 seconde. 

De plus, a l'heure Htop, si FF 0 n'est pas executee, alors LCL considere que la session 
d'execution associee audit logiciel LD qui doit lancer FF 0 est fermee. Cette condition permet a 
LCL de diminuer son compteur de licences utilisees sur le reseau par rapport a LD. 

10 Bien sure, le depassement du nombre de licences ne concerne pas les logiciels qui sont utilise 

avec un ordinateur isole et connecte directement par un port E/S a un LCL adapte a ce port. 

De plus, lors de l'execution des autres fonctions FFj pour i different de 0 par le logiciel LD, 
FF, verifie d'abord si la fonction FF 0 associee a LD n'est pas en cours d'execution. En l'absence 
d'une execution en cours de FF 0 , FFj pour i different de 0, envoie eF i? S#, les parametres 

15 d'execution de F; vers LCL via DRV. Lorsque le lecteur LCL a termine le. traitement de eFj 
accompagne de ses parametres, les resultats sont retournes a FFj. FFj retourne alors ces resultats au 
logiciel LD. Si un message d'erreur. est recu, l'execution du logiciel LD s'arrete. Contrairement a 
des systemes de protection de logiciels qui utilisent des verifications de codes, les logiciels 
proteges selon la presente invention, possedent une protection inconsumable par rapports a la 

20 difficulty de pouvoir trouver une fonction equivalente aux fonctions de F$ utilisees. 

Selon la realisation de la presente invention, compte tenu du processeur CPU1, le systeme 
d' exploitation du microcontrdleur 100 est un systeme multitache afin de pouvoir traiter plusieurs 
utilisation de logiciels proteges selon la presente invention en meme temps. La realisation de ce 
systeme d 'exploitation se refere a des standards de systemes multitaches existant concemant les 

25 processeurs 80386 de la societe Intel. De plus, la securite du systeme de protection de logiciels 
selon la presente invention, repose en particulier sur l'execution d'un seul programme principal a la 
fois par le processeur CPU2. 

Selon la realisation de la presente invention, a la reception complete d'un paquet 
d' informations, CPU1 les charge dans la memoire DRAM 109. Dans le cas de donnees 

30 (correspondantes a un logiciel donne numerote S#) du type eFi et des parametres associes a eFj, la 
liste de test suivant est realisee : i est egale a 0 701, eFi correspond a un logiciel numerote S# qui a 
deja execute une fois FF 0 avec succes 702, l'heure indiquee par l'horloge 104 est egale a l'heure 
Htop (valeur precedemment definie correspondant au logiciel numerote S# qui a dans cette 
condition deja execute une fois FF 0 avec succes) exprimee par rapport a l'heure de l'horloge 104 

35 avec une erreur de plus ou moins deux secondes (test 703 ou 705), le nombre (note NL.S#) courant 
de licences utilisees (correspondant au logiciel numerote S#) augmente de 1 est strictement 
superieur a la valeur L#.S# du fichier Fich.S# (correspondant au logiciel numerote S#) foumi par la 
carte CL (test 704). Les elements de cette liste de tests sont notes respectivement testl, test2, test3, 
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test4. Le chiffre associe a ces tests indique 1'ordre de ces tests dans les conditions de leurs 
realisations. En reference a la figure 12, le test testl 701 correspond au debut de l'arbre d'analyse 
qui est effectue done en considerant un logiciel donne nurnerote S#, et un identifiant unique IDIP 
qui est le numero adresse IP de chaque ordinateur sur le reseau considere. Ce numero permet ainsi 
5 d'associer chaque session d'execution de logiciels par rapport a un ordinateur donne dudit reseau. 
Selon des variantes de cette realisation, d'autre identifiant unique peuvent etre associe directement 
a une session d'execution d'un logiciel donne par Temploi d'un identifiant de processus combine 
avec 1'adresse reseau de 1'ordinateur ou se trouve ce processus. Ainsi, la presente realisation 
considere 1' identifiant unique associe a une adresse IP comme un exemple de moyen possible pour 
10 identifier un ordinateur sur ledit reseau. Ainsi, au debut de l'arbre d'analyse de la figure 12, les 
informations S# et IP (IDIP) sont supposees fournies par la fonction FFj avec le driver DRV. Ces 
deux informations sont envoyees vers ledit lecteur LCL dans le paquet d'informations PARAM 
precedemment decrit. 

Selon la realisation de la presente invention, par rapport au test test4 704, si le resultat est une 
15 valeur fausse au sens booleen, alors la nouvelle valeur de NL.S# 709 est celle del'ancienne 
augmentee de 1 , a condition que le test test2 702 soit faux et que le testl 701 soit vrai. 

Par rapport a une valeur vraie du test test3 703, et a condition d'une valeur vraie des. tests testl 
701 et test2 702, CPU1 effectue un lecteur de l'heure courante sur l'horloge interne 104, pour 
calculer la nouvelle valeur de Htop exprimee par rapport a Fheure de l'horloge associee a 
20 1'ordinateur executant le logiciel S# dans les conditions de ces tests et le contexte de ces conditions. 
La nouvelle valeur de Htop est a egale Tancienne augmentee de 5 minutes (par exemple), selon la 
realisation de la presente invention. Cette valeur de 5 minutes est ajustee de telle sorte que deux ou 
plusieurs logiciels ayant le meme numero S# et tournant sur des ordinateurs differents, ne puissent 
pas executer la fonction FF 0 correspondante en meme temps (il faut tenir compte de ladite erreur de 
25 plus ou moins deux secondes). Cette valeur de 5 minutes peut done etre remplacee, par tout autre 
valeur en fonction de la phrase precedente. A la fin du test test3, une execution 706 de la fonction 
F 0 a lieu. 

Par rapport a une valeur fausse du test test3 703, et a condition d'une valeur vraie des tests 
testl 701 et test2 702, un message d'erreur 707 est alors retourne a la session d'execution du 

30 logiciel correspondant a 1 'execution de la fonction FF 0 dans les. conditions de ces tests et le 
contexte de ces conditions. De plus, CPU1 diminue de 1 point le compteur NL.S# associe aux 
logiciels au numero de serie S#. Le systeme d' exploitation du microcontroleur 100 dans le cadre de 
la protection de plusieurs logiciels en meme temps, gere une liste d'objets references par les 
differents identifiants IDIP coirespondant a tous les ordinateurs du reseau qui executent un logiciel 

35 protege selon la presente invention. Cette liste d'objets est etablie.a partir des informations de 
PARAM. Les champs de chacun de ces objets servent a enregistrer les numeros de serie S# des 
logiciels numerotes S# qui sont executes sur 1'ordinateur dont 1' identifiant IDIP correspond a ladite 
reference IDIP de ces objets. Cette liste d'objet permet la gestion de 1'utilisation des logiciels 
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proteges en fonction des ordinateurs. Lorsque NL.S# est diminue de 1 point par rapport un 
ordinateur identifie par IDIP et qui execute le logiciel numerote S# qui a provoque cette 
diminution, le champ de l'objet IDIP correspondant qui contient la valeur de S# est efface. Cette 
gestion permet a ce que une nouvelle execution d'un logiciel numerote S# puisse avoir lieu. II faut 
aussi noter que la valeur de NL.S# est le total desdits objets possedant un champ identique a la 
valeur de S# dans la notation de NL.S#. Ainsi, en contrepartie lorsqu'une augmentation de 1 point 
de la vakur de NL.S# a lieu, un nouveau champ dans l'objet IDIP de ladite liste d'objets est cree. 
L'objet IDIP correspond a Tordinateur numerote IDIP qui execute la fonction FF* du logiciel S#. 
Ledit nouveau champ prend alors la valeur de S#. 

Par rapport a une valeur vraie du test test4 704 et d'une valeur fausse du test test2 702 et d'une 
valeur vraie du test testl 701, un message d'erreur 708 est alors retourne a la session d'execution 
du logiciel correspondant a l'execution de la fonction FF 0 dans les conditions de ces tests et le 
contexte de ces conditions. 

Par rapport a une valeur vraie du test test3 705, et a condition d'une valeur fausse du test testl 
701, CPU1 diminue de 1 point le compteur NL.S# associe aux logiciels numerates S#. Ladite liste 
d'objets IDIP est actualisee en consequence. Un message d'erreur 710 est alors retourne a la 
session d'execution du logiciel correspondant a l'execution de la fonction FF 0 dans les conditions 
de ces tests et le contexte de ces conditions. 

En reference a la figure 12, pour une valeur vraie du produit (testl 701 et test2 702 et test3 
703) dans Fordre de leur realisation, pour une valeur fausse du produit (testl 701 et test2 702 et 
test4 704) dans l'ordre de leur realisation, et pour une valeur fausse du produit (testl 701 et test3 
705) dans l'ordre de leur realisation, le resultat conduit a un traitement de eF* par CPU1 . 

Bien entendu, l'ensemble de ces tests est defini par rapport a la realisation de la presente 
invention pour permettre les fonctionnalites de protection de plusieurs logiciels en meme temps par 
un seul lecteur LCL; L'arbre d'analyse de la figure 12 est simplifie au maximum par soucis de 
clarte de comprehension. Selon des modes particuliers de realisation, les conditions des tests et le 
contexte de ces tests peuvent varier. 

En cas d'utilisation intensive, une file d'attente est creee pour faire executer une a une les 
fonctions Fj par le processeur CPU2. Afm de diminuer le temps d'attente, une condition de duree 
autorisee pour l'execution d'une fonction Fj donnee peut etre fixee, par exemple 1/100 de secondes 
valeur defmie par rapport a la vitesse de calcul du processeur CPU2. Cette condition de duree devra 
etre respectee par le developpeur de logiciels proteges selon la presente invention. 

Selon la realisation de la presente invention, les informations d'utilisation d'un logiciel donne 
numerote S# sont foumies par la carte CL. Ainsi, lorsqu'il est necessaire par rapport a l'arbre 
d'analyse, notamment a Tetape 704, le microcontroleur 100 effectue une requete aupres de la carte 
CL. Ainsi, CPU1 effectue dans l'objectifd' executer F^ une requete a propos du logiciel numerote 
S#, aupres de la carte CL connecte dans le contexte de cette requete. Dans les conditions de succes 
de la procedure d'authentification precedemment definie entre LCL et CL, et dans les conditions de 
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la possessions du fichiers Fich.S# associe au logiciel numerote S# du contexte de cette requete, le 
microcontroleur 400 de la carte CL retourne au LCL sous une forme codee par la cle kCS, le fichier 
Fich.S#. Le microcontroleur 100 met alors a jour, les champs suivants : DR.S# (derniere utilisation) 
remplacee par la date courante, DU.S# recalcule, Nombre d'execution du logiciel. DR.S# est mise 
5 a jour par rapport a la date et l'heure de la premiere execution de la fonction FF 0 par rapport au 
dernier lancement d'une execution du logiciel S# associe a cette fonction. DU.S# est recalculee 
avec la valeur dynamique de Htop et l'heure courante indiquee par l'horloge 104 au moment ou 
l'execution d'une fonction FF* correspondante a lieu. Le champ « Nombre d'execution du logiciel » 
est calcule par rapport a la derniere execution du logiciel associe au contexte de ce calcul. II est 

10 done augmente d'un point a chaque nouvelle execution. L'ensemble de ces tests est optimise en 
fonction du flux des requetes des differentes fonctions FFj executees par les logiciel s 
correspondants sur les differents ordinateurs connectes sur le reseau avec le lecteur LCL considere 
dans le contexte de ces mises a jour d'informations. 

Selon la realisation de la presente invention, les valeurs de L#.S#, kEL.S# et kX.S# (d'autres 

15 champs du fichier concernes peuvent etre retenus par CPU1 selon les besoins) sont memorisees 
dans la DRAM 109. Fich.S# modifie est ensuite retourne a CL sous une forme codee par kCS. Afin 
d'empecher des actes de piraterie, si la carte CL est enlevee pendant que le lecteur LCL utilise la 
carte CL pour effectuer des operations concernant la presente invention, le lecteur LCL met fin a 
toutes les sessions d'execution de logiciels proteges selon la presente invention, en leur retournant 

20 un message d'erreur. Selon des modes particuliers de realisation, les appareils selon la presente 
invention, peuvent ne pas retourner ainsi un message d'erreurs, dans la mesure ou des , fichiers 
Fich.S# peuvent etre stockes en permanence dans le lecteur LCL de la meme maniere que celle 
employee avec la carte CL. 

Ainsi, selon la realisation de la presente invention, la valeur L#.S# empeche de depasser le 

25 nombre de licences d' utilisations d'un logiciel protege selon la presente invention. 

Selon la realisation de la presente invention, pour le cas i=0, la cle kEL.S# fournie par le 
fichier Fich.S# est utilisee pour decoder eF 0 . CPU1 obtient ainsi ledit fichier de conditions 
d'utilisation du logiciel associe a ce eF 0 . CPU1 compare la valeur de ces differentes informations 
par rapport au fichier Fich.S# associe. A titre explicatif, si Putilisation est fixee par rapport a une 

30 date d'expiration, ledit fichier de conditions d'utilisation renseigne cette valeur Jimite .par son 
champ correspondant. Selon des modes particuliers de realisation, ledit fichier de conditions 
d'utilisation peut ne pas comporter tout ou partie des champs suivants : licences . permanentes, 
duree d'utilisation, 1'utilisation expire fin, nombres d'executions. 

Selon la realisation de la presente invention, apres le succes de la comparaison des donnees 

35 fournies par le fichier Fich.S# avec le fichier de conditions (limites) d'utilisation decodee par la cle 
kEL.S# et associee a eF 0 , et toujours pour i=0, CPU1 recupere aussi avec la cle kEL.S# les « byte 
code » JAVA (code d' instruction JAVA) de la fonction F 0 . 
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Selon la realisation de la presente invention, pour i different de 0 5 les donnees codees eF, sont 
decodees a Taide de la cle kX.S# renseignee par le Fich.S# coirespondant. CPU1 recupere alors les 
« byte code » JAVA (code destruction coirespondant a la machine virtuelle JAVA) de la fonction 
Fi- 

5 Ces codes d'instruction sont charges alors par Tintermediaire de T interface. 106 directement 

dans la DRAM 110 grace au controleur DMA 107. Par rintermediaire du controleur du CPU2, 
CPU1 donne la main au CPU2 (processeur PicoJava) pour T execution de F, dont les parametres 
d'execution ont ete charges au prealable. Le watchdog 108 surveille au bon fonctionnement du 
CPU2. A la fin de Texecution de F 4 par CPU2, les resultats sont recuperes par CPU1 et retournes 

1 0 vers 1 'ordinateur qui a envoye les donnees eFj. 

Dans les contextes d 'utilisation 30 et 20, un lecteur LCL peut etre utilise avec un ordinateur 
personnel grace a une connexion directe entre leur port E/S USB respectif. Pour ces deux contextes 
la protection de logiciels par le lecteur LCL est une version simplifiee des fonctionnalites en 
reseau. Par consequent, la presente description n'apportera pas de renseignements supplementaires. 

15 Selon des modes particuliers de realisation, le champ « duree d'utilisation » du fichier de 

conditions d'utilisation peut etre utilise pour caracteriser Tutilisation de logiciels de 
demonstrations. Ainsi, le fichier de conditions d' utilisations fixe en particulier des conditions 
d'utilisation limite. Le fichier d'autorisation d 'utilisations renseigne la « quantite » d'utilisation en 
cours. Les deux fichiers combines permettent selon la realisation de la presente invention, de 

20 proteger un logiciel contre le non respect de ses conditions d'utilisations. 

De plus, le format du fichier de conditions d'utilisation est surtout interessant pour developper 
des applications de demonstrations dont Tutilisation est limitee. Dans ce contexte, une procedure 
de protection particuliere peut etre utilisee pour que la creation de logiciels proteges selon la 
presente invention, puisse etre effectue sans passer par rintermediaire du serveur aSVR. Cette 

25 fonctionnalite est interessante pour permettre notamment de decentraliser la protection de logiciels 
selon la presente invention. De plus, pour lancer une telle procedure de protection, le choix sera 
effectue a l'aide du programme PGM. 

Par rapport a la procedure de protection de logiciels precedemment decrite, les fonctions F, 
sont maintenant codees avec une cle secrete kLi de ladite liste {kL i+J ,kLi +2 ,kLi+3,... > kLi +in }, qui 

30 correspond a la semaine courante pendant laquelle cette procedure speciale de protection de 
logiciels est lancee. L'usage de ces cles est interessant uniquement pour les logiciels dont 
Tutilisation est limitee dans le temps a cause de la definition de ces cles kLi. Bien sure, le lecteur 
LCL qui effectuera cette procedure ne communiquera pas la valeur de kLi par rapport a sa 
definition. Pour etre distribue, le logiciel ainsi protege devra etre accompagne des indications sur la 

35 semaine pendant laquelle cette procedure particuliere de protection a ete effectuee. Ainsi, lorsqu'un 
utilisateur desire executer un logiciel protege de cette maniere (par la cle kLi), il n'aura pas besoins 
de contacted le serveur aSVR, car toutes les informations s'y trouvent sur le media 
d'enregistrement. Cependant Tutilisation du logiciel reste dependante d'un lecteur LCL compte 
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tenu du cryptage. Ainsi, l'utilisateur pourra disposer immediaternent du logiciel, mais ne pourra pas 
depasser les conditions d'utilisations fixees dans le fichier de conditions d'utilisation. La realisation 
de la presente invention empeche une reutilisation d'un logiciel dont l'utilisation est limitee dans le 
temps. Des explications seront donnees par la suite. 
5 De plus, la presente invention concerne une methode rendant l'utilisation des appareils selon 

la presente invention, transparente du point de vue informatique par rintermediaire d'un 
programme note PGM qui a deja ete aborde. Le programme PGM est developpe de telle sorte qu'il 
puisse permettre a un utilisateur des appareils selon la presente d'effectuer des operations 
necessitant une interactivity avec ces appareils. Son utilisation est generalement sous-entendue dans 

10 la presente description. II a aussi pour role de permettre a un LCL donne de se connecter a un 
systeme informatique distant en utilisant les ressources de communication de I'ordinateur hote et 
du systeme informatique de cet ordinateur. 

Le programme PGM est utilise en parallele avec un programme driver DRV. Ce driver DRV 
constitue une couche de communication entre PGM et un lecteur LCL donne. II assure la 

15 transparence de l'utilisation du lecteur LCL. L'adjonction de ces deux elements dans un ordinateur 
donne est illustre sur la figure 2. Ces deux programmes remplissent toutes les fonctionnalites 
decrites precedemment et par la suite. Une convention est adoptee sur les procedures 
d' interrogation d'un LCL donne afin de permettre a ce lecteur LCL de reconnaitre et d'executer des 
commandes qui sont integres au systeme d'exploitation de son microcontroleur 100. Ces 

20 commandes sont definies lors de la construction des lecteurs LCL. 

En retour, selon la presente invention, PGM peut aussi interpreter les informations provenant 
des commandes envoyees par LCL. Ces commandes sont essentiellement, selon la realisation de la 
presente invention, des instructions pour permettre a un LCL d'acceder a un systeme distant. 

Ainsi, selon la convention adoptee pour communiquer avec un lecteur LCL donne, des 

25 commandes sont definies par rapport a la possibility pour les lecteurs LCL, de se connecter a aSVR 
par rintermediaire des ressources disponibles de communication reseau pour permettre par 
exemple une mise a jour du systeme informatique interne des appareils selon la presente invention 
ou encore la mise a Pheure de l'horloge interne 104 en cas de dysfonctionnement (la pile 103 est 
epuisee). 

30 Selon le contexte d'utilisation 20 indique sur la figure .1, un.recepteur hertzien numerique 22 

est connecte sur le bus externe 1 14 du microcontroleur 100, pour permettre a un lecteur LCL donne 
de recevoir des informations directement de Torganisme qui gere le serveur aSVR. Bien entendu, 
ce recepteur sera integre dans le boitier retenu pour l'utilisation du lecteur LCL. II est ainsi possible 
d'envoyer des informations a tous les lecteurs LCL en service de maniere generale et/ou specifique. 

35 De plus, la faible consommation de ce type de recepteur par rapport a un fonctionnement avec des 
piles electriques, permet de les laisser en fonctionnement permanent, meme si le lecteur LCL est 
eteint. Selon une variante d'utilisation d'alimentation electrique, des piles rechargeables peuvent 
etre employees avec le radiorecepteur 22 independamment de Talimentation electrique du LCL 
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(fournit eventuellement par le reseau electrique local). Bien entendu, le recepteur dispose de sa 
propre memoire pour permettre de conserver les donnees reipues de remetteur 13 lorsque le lecteur 
LCL est eteint. Ainsi, le serveur aSVR peut envoyer des informations comme par exemple la mise 
a jour du systeme d'exploitation du lecteur LCL et/ou de la carte CL par Pintermediaire d'un 
5 emetteur!3. 

Selon une variante du fonctionnement des lecteurs LCL, une condition de duree peut etre 
ajouter en plus des informations concernant les dates de mise en service et de fin d'utilisation 
(DB.d et DE.D). Cette condition est relative a 1'utilisation de LCL avec le radiorecepteur 22. Ainsi, 
un lecteur LCL qui n'aurait re$u aucunes informations provenant de remetteur 20, refusera de 

1 0 fonctionner au moment de sa mise en marche par un utilisateur. Une procedure de connexion sur 
aSVR par Tintermediaire du programme PGM devra etre effectuee afin de recuperer les 
informations que ce lecteur LCL aurait pu manquer pour cause de mauvaise reception radio. Cette 
recuperation se fait bien sure par Tintermediaire de la cle kT.d pour securiser la communication 
entre aSVR et le lecteur LCL en question. 

15 De plus, afin d ' envoyer de remetteur 13 des informations de maniere securisee, les cles 

secretes kLi precedemment decrites sont utilisees pour coder ces informations a envoyer par radio 
aux lecteurs LCL. On note ces informations MR. De plus, kLi est choisie de telle sorte qu'elle 
correspond avec la semaine ou les informations partem de remetteur 13. On note eMR la forme 
codee de MR par kLi. En choisissant d'emettre les informations MR a partir du lundi qui suit la 

20 semaine (commen9ant un lundi et se terminant fin dimanche) ou ces informations MR ont ete 
definies, les memes informations sont envoyees en repetition suivant un intervalle donne durant 
toute la semaine. Ceci permet de s'assurer qu'elles ont bien ete re9ues, et d'eviter trop de 
connexion de LCL vers aSVR. 

Cette variante de la presente invention presente beaucoup d'avantage, car elle permet dans un 

25 premier temps de retourner les fichiers Fich.S# de maniere securisee vers le lecteur LCL 
correspondant a Tacheteur du logiciel associe a Fich.S#. Bien entendu, l'emetteur 13 peut envoyer 
de maniere specifique des informations vers un recepteur radio 22 donne. Cette variante permet un 
achat sans connexion informatique, mais par Tutilisateur directement au telephone avec un accueil 
humain. Cette . variante permet une complete separation de la distribution du media 

30 -d'enregistrement contenant un logiciel donne; de la vente des licences d'utilisation de ce logiciel 
donne. 

Dans un deuxieme temps, cette variante permet d'envoyer des informations concernant la 
perte d'un appareil. Compte tenu des capacites de stockage des modules de « Disque Flash », un 
circuit DiskOnChip non illustre de la societe Msystems est connecte avec un controleur eventuel 
35 sur le bus externe 1 14 du microcontroleur 100 pour permettre au microcontroleur 100 de disposer 
d'un disque de stockage. Un DiskOnChip de 12 megaoctets est choisit selon la realisation de la 
presente variante de l'invention. Selon d'autres variantes, une carte Disque Flash PCMCIA peut 
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etre employee a la place du DiskOnChip. Ainsi, a reception des informations eMR, le 
microcontroleur 100 decode eMR a l'aide de la cle kLi de la semaine courante. 

Ainsi, pour desactiver un appareil CL et/ou LCL donnes par rapport a leur utilisation, une 
information correspondant a son numero de serie peut etre jointe. Ce numero de serie est alors 
5 sauvegarde sur le circuit DiskOnChip dans un fichier note ANNUL qui sert a stocker tous les 
numeros de series des appareils selon la presente invention, qui ne doivent plus etre utilises. Selon 
des modes particuliers de realisation, par rapport a la securite necessaire contre des modifications, 
ledit numero peut ne pas etre code lors de son emission de l'emetteur 13. 

Selon la presente invention, un procede informatique d' authentication et de signature par 

10 LCL est effectue sur le fichier ANNUL. La signature electronique et les informations de 
1' authentication sont stockees dans la memoire interne 111 du microcontroleur 100. Ainsi, le 
microcontroleur 100 a chaque demarrage verifie si le fichier ANNUL n'a pas ete remplace par un 
autre fichier au meme format ou modifie par une operation non autorisee. 

Ce fichier ANNUL est alors utilise lors de la procedure d' authentication entre une carte CL 

15 donnee et un lecteur LCL donnee par rapport a la procedure precedemment decrite. Si CL presente 
un ID.c qui est reference dans le fichier ANNUL, LCL rejette alors la carte CL en question. De 
plus, au demarrage de LCL et/ou a reception d'une information MR, le microcontroleur 100 du 
LCL, verifie si son propre ID.d n'est pas reference dans le contenu de MR et/ou ANNUL. Si le cas 
se presente, le microcontroleur 100 se met hors service en detruisant le contenu de sa memoire 

20 interne. 

Ainsi, cbmpte tenu de la realisation de la presente variante, un appareil CL ou LCL peut etre 
mis hors service dans un maximum de 1 semaine. 

De plus, selon la realisation de la presente invention, les appareils ont une utilisation d'au 
maximum 4 ans. Cette duree peut tout a fait se ramener a 2 ans. Dans le contexte de cette duree, en 

25 considerant une possibility de pertes des appareils selon la presente invention, avec un volume de 1 
million de pertes d'appareils en 2 deux ans (les pertes volontaires seraient empechees par le prix 
d'achat d'un nouvel appareil en cas de perte). Ce volume peut sembler exagerer. Compte tenu des 
capacites des methodes de compressions (un taux de 50%), et compte tenu de la taille de 128 bits 
d'un numero de serie ID, il faudrait done environ et sans compression 15 megaoctets, 8 megaoctets 

30 avec compression d'espace de stockage de donnees. Sur une duree d'utilisation de deux ans des 
appareils selon la presente invention, la capacite de la DiskOnChip selon la presente variante suffit. 
Pour le cas de duree d'utilisation plus longue, des capacites de stockage plus grandes peuvent etre 
prises compte tenu de la capacite des modules DiskOnChip dans Tetat actuel de l'art. 

De plus, ledit radiorecepteur numerique, compte tenu de sa capacite de recevoir des 

35 informations qui le concerne uniquement, lors de l'achat d'une licence de logiciel, l'utilisateur peut 
recevoir par radio le fichier Fich.S# (decrite precedemment) correspondant a son achat de licences 
du logiciel numerote S#. Cette fonctionnalite peut avoir un grand impact au niveau commercial 
(l'achat de logiciel peut etre effectue partout sur la planete sans connexion). Bien sure, Fich.S# est 
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envoye sous forme codee avec la cle kLi de la semaine courante. Selon dts variations de 
realisations, on peut utiliser une cle de type kT.d pour les operations d'achat. 

La possibilite de faire rejeter 1'utilisation d'un appareil selon la presente invention par le reste 
des appareils selon la presente invention, permet de donner aux utilisateurs la possibilite de 
5 recuperer une partie du contenu de leur carte CL perdue. 

Ainsi, en tenant compte du format de fichier Fich.S#, la taille de ce fichier peut etre ramenee a 
66 octets dans un fichier nomme rFich.S#, en conservant uniquement les champs suivants : S# du 
logiciel, BD.c, L#.S#, kEL.S#, kX.S#. En considerant uniquement les logiciels dont l'utilisateur 
possede une licence d'utilisation permanente, rFich.S# suffit pour definir 1'utilisation de ces 

10 logiciels proteges selon la presente invention. Ainsi avec un module de memoire de 64 kilooctets, 
on peut stocker au moins 990 licences de logiciels differents dont 1'utilisation peut etre definie par 
rFich.S#. Selon cette nouvelle variante, l'organisme qui gere aSVR, fournit lors de l'achat d'une 
carte CL une carte a puces (SmartCard) notee SC, et pouvant securiser des donnees en lecture et en 
modification. SC n'est pas illustree. SC comporte un microcontroleur integrant sur une seule 

15 pastille de silicium, un processeur, un module memoire Flash de 64 kilooctets, .de la memoire 
DRAM et OTPEPROM. Les acces en memoire sont controles par le processeur du microcontroleur 
de SC. Cette carte est une carte a puces securisee. Cette carte a puces est utilisee a chaque fois que 
Futilisateur acquiere legalement une nouvelle licence pour une ou des utilisation(s) permanente(s) 
d'un logiciel donne protege selon la presente invention. Lors de; cette acquisition, cette carte est 

20 inseree dans le lecteur de cartes a puces qui communique avec le microcontroleur 100 du lecteur 
LCL par le moyen du controleur de cartes a puces 153. Le fichier rFich.S# sera alors copie dans le 
module de memoires Flash de 64 kilooctets du microcontroleur de la carte a puces. Bien entendu, la 
carte a puces SC possede en interne une cle secrete kLi de la meme maniere que la carte CL. Cette 
cle est utilisee lors d'une procedure d 1 identification similaire a celle qui a lieu entre le lecteur LCL 

25 et la carte CL. Des modifications du contenu de la carte SC ne peuvent etre effectuees uniquement 
par un lecteur LCL connecte a une carte CL associee. Ainsi, pour cette variante de la realisation de 
1'invention, rFich.S# est stocke sous une forme codee, notee erFich.S#, par la cle kS.c de la carte 
CL. De plus, compte tenu des proprietes de securite des cartes a puces (SmartCard), erFich.S# et 
ainsi protege contre la modification ou la lecture non autorisee. De toutes maniere cette information 

30 est protege. De plus, par Temploi de la cle kS pour codee rFich.S#, cette carte ne peut etre utilisee 
qu'avec la carte CL d'ou les fichiers rFich.S# proviennent. Bien sure, si l'utilisateur a achete des 
licences d'un logiciel S# en plus par rapport a celles qu'il a deja dans sa carte CL, LCL copie alors 
erFich.S# et Tenvoie vers la carte CL correspondant. Les champs de rFich.S# sont mis a jour par 
rapport au nombre de licences nouvellement acquises. Le nouveau fichier erFich.S# obtenu 

35 remplace ensuite l'ancien dans la memoire interne du microcontroleur de la carte SC. 

Ainsi en cas de perte, la sauvegarde effectuee sur la carte a puces SC peut etre recuperer en 
deux etapes : achat d'une nouvelle carte CL, connexion vers le serveur aSVR par rintermediaire du 
programme PGM. 
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Lors de la connexion sur le serveur, Tutilisateur communique par rintermediaire de son 
programme PGM, le numero de serie ID.c de son ancienne carte CL (ID.c est une donnee publique 
non modifiable: il est affiche en clair sur le boitier 60 de chaque CL). Ensuite, l'utilisateur 
communique le numero de serie de sa nouvelle carte CL. En echange, aSVR retourne une donnee 
5 qui est la forme codee de la cle secrete kS de la carte CL perdu. Cette cle est codee par la cle kT.d 
du lecteur LCL sur lequel la nouvelle carte CL est connectee. L'acquisition de la cle kS de la carte 
CL perdue permet de recuperer ainsi le contenu des fichiers rFich.S#. 

Selon la variante de l'invention utilisant le radiorecepteur, le numero ID.c de la carte CL 
perdue peut etre communique oralement par telephone. LCL reeoit alors par 1' intermediate de son 
10 radiorecepteur numerique et sous une forme codee par la cle kLi de la semaine courante, la cle kS 
de la carte CL perdue et correspondant audit numero ID.c de la carte perdue. L'acquisition de la cle 
kS de la carte CL perdue permet de recuperer ainsi le contenu des fichiers rFich.S#. 

De l'autre cote, aSVR lance une procedure pour desactiver l'utilisation de la carte perdue en 
envoyant selon la variante de l'invention precedemment decrite, le numero ID.c de la carte perdue 
15 a tous les lecteurs LCL. 

Selon une autre variante de l'invention, le stockage des fichiers Fich.S# peut etre effectue par 
le lecteur LCL en suivant les conditions de securites similaires au fonctionnement d'une carte CL 
au niveau du stockage de ces fichiers. Les fichiers Fich.S# seront alors stockes sur media 
d'enregistrement exteme prevu pour ce stockage. On peut utiliser par exemple une DiskOnChip. 
20 Les fichiers stockes sur ce support sont proteges par la cle kS.d du lecteur LCL correspond. Dans 
cette variante, la cle kS.d est une cle secrete inscrite dans la memoire interne 111 lors de la 
programmation en usine du microcontroleur 100. Ainsi lorsqu'une ou des licence(s) de logiciels 
sont deplaces vers le lecteur LCL, Tacces aux logiciels proteges selon la presente invention, et 
associes a ce lecteur LCL peut etre realisee independamment de la presence d'une carte CL. Ceci 
25 permet une utilisation par toutes les personnes pouvant acceder a Fordinateur sur lequel ledit 
lecteur LCL est connecte. Bien entendu, lors d'un deplacement de licences de logiciels d'une carte 
CL, les informations seront mises a jour dans la carte a puces SC en obligeant la connexion de la 
carte a puces SC correspondant a cette carte CL sur le lecteur adapte du lecteur LCL. Par exemple 
lorsque deux licences d'un logiciel numerote S# sont deplacee de la carte CL vers un lecteur LCL, 
30 le contenu du fichier eFich.S# de la carte CL et le contenu du fichier erFich.S# de la cartes a puces 
SC seront modifies en consequence afin d'ecrire un fichier d' utilisations de logiciels au niveau du 
lecteur LCL. Dans cette nouvelle fonctionnalite du lecteur LCL, une carte a puces du meme type 
que SC devra etre associee a chaque lecteur LCL pour permettre une sauvegarde des fichiers 
Fich.S# relatifs a des licences d'utilisations permanentes de logiciels. Ainsi, cette carte a puces 
35 devra etre inseree immediatement apres les deplacements des licences d' utilisations de la carte CL 
vers le lecteur LCL pour valider le transfert. Compte tenu du fait que les autorisations d'utilisations 
de logiciels copiees dans le lecteur LCL peuvent etre transferer par une operation inverse a celle 
qui vient d'etre decrite vers une nouvelle carte CL, il est done possible de deplacer une autorisation 
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d'utilisation d'un logiciel protege selon la presente invention (Tune carte CL vers une autre carte 
CL. Les cartes a puces SC respectives de ces deux cartes CL seront bien entendu mises a jour 
automatiquement. 

De plus, par rapport a ladite possibility de changer de carte CompactFlash sur une carte CL, et 
5 par rapport a des autorisations d'utilisation de logiciels relativement a une utilisation limitee, un 
fichier eTPS est present sur chaque carte CompactFlash qui est utilisee par une carte CL donnee et 
numerotee ID.c. Ce fichier devra imperativement etre present sur toutes les cartes CompactFlash 
utilisees par ladite carte CL. Autrement, la carte CL ne fonctionne pas. De plus, eTPS est la forme 
codee du fichier TPS qui contient en premiere ligne le numero ID.c, puis tous les numeros de serie 
10 de logiciels S# acquis selon la presente invention, par l'utilisateur de cette carte CL. Ainsi, un 
utilisateur ne pourra contourner les limites d'utilisations d'un logiciel d'utilisation limitee par 
rapport par exemple au temps ou au nombre d'executions, en changeant de carte CompactFlash. 
Cette restriction s'applique selon la realisation de la presente invention, par exemple sur les 
logiciels gratuits. 

15 Ainsi selon des variantes evidentes de realisation qui ne seront pas decrits (cette description 

n'apporte rien a la comprehension et a la realisation de la presente invention), par rapport a sa 
capacite de protection d'informations contre toutes modifications, la carte CL peut servir au 
stockage d'informations public non modifiable tel que l'identite d'une personne. Ces informations 
pourront etre consultees par F intermediate de 1'interface utilisateur representee par le programme 

20 PGM. La carte CL peut, en effet compte tenu de sa grande capacite de stockage permettre de 
stocker des programmes et/ou des compteurs relatifs a une valeur donnee, de maniere securisee 
contre des modifications et/ou lectures non autorisees selon un critere donne. De Fautre cote, LCL 
offre un moyen securise pour permettre 1' execution de ces programmes supplementaires et/ou le 
traitement de ces compteurs relatifs a une valeur donnee. Le microcontroleur 100 est physiquement 

25 protege contre des programmes dits virus informatiques. On peut ainsi envisager de defmir le 
champ Misc des fichiers Fich.S# par des codes de programmes executables par le processeur CPU2 
du microcontroleur 100 ou par des compteurs de fidelite representant le nombre de licences de 
logiciels achetes par l'utilisateur a un concepteur de logiciels donnes, afin de permettre des 
. operations commerciales correspondantes. Les codes de programmes eventuellement ajoutes dans 

30 le champ Misc peuvent permettre de modifier le comportement desdites fonctions F ( lors de leur 
execution par le lecteur LCL, afin de rendre quasiment impossible le piratage du logiciel 
correspond en essayant de remonter a la fonction Fj par une surveillance des entrees et sorties de 
donnees au niveau des appels des fonctions FFj. II est a rappeler que seule la forme codee eF* des 
fonctions F; sont accessibles par l'utilisateur. 

35 Selon la presente invention, Temploi d'un circuit integre (le microcontroleur 100) 

physiquement et logiquement protege contre des attaques de virus informatiques et contre les 
lectures et/ou des modifications de donnees contenues dans le circuit, permet un tres haut niveau de 
securite de protection de logiciels. Compte tenu des peripheriques de communications que peut 



.WSDOCID: <WO.__9939256Al_ I > 



WO 99/39256 PCT/FR9 9/00 182 

-39- 

utiliser un tel circuit, les appareils selon la presente invention, n'apparaisse plus comme un appareil 
prohibitif de surveillance, mais un veritable outil participant activement a l'utilisation des logiciels 
notamment par le fait que la presente invention permet de recuperer en securite des licences 
perdues. En effet, la presente invention permet de rendre un outil de protection de logiciels, 
5 d'aspect souvent decoratif en raison du temps ou il est effectivement utilise, en un outil que 
l'utilisateur peut utiliser dans sa vie quotidienne par sa capacite de securiser le stockage de donnees 
et l'execution de programmes. Ainsi la presente invention est un nouvel outil de protection de 
logiciel qui permet d'une part la distribution des logiciels independamment de la vente de leur droit 
d'utilisation, et d'autre part un developpement libre des logiciels proteges selon la presente 

10 invention. Selon la presente invention, cette separation a une grande consequence sur le cout 
necessaire pour proteger un logiciel. En effet, l'utilisation d'un seul appareil selon la presente 
invention, pour la protection de plusieurs logiciels independamment des concepteurs de logiciels, 
permet de distribuer le cout d'un appareil selon la presente invention sur tous les concepteurs de 
logiciels, de sorte que le prix d'un seul appareil selon la presente invention, devienne faible et 

1 5 abordable pour 1 ' utilisateur. 

De plus, ladite separation permet selon la presente invention, la vente de moyens de 
protections de logiciels independamment des logiciels qui utilisent ces moyens pour la protection. 
La puissance de la presente invention au niveau des securites utilisees, permet compte tenu de sa 
vente separee du produit logiciel, une exploitation commerciale liee a d'autres operations. Ces 

20 operations peuvent etre des operations qui consiste a presenter des informations confidentielles que 
l'utilisateur ne peut modifier ou falsifier. Elle peut servir done a un outil permettant des acces a un 
systeme donne. Ainsi, la presente invention est un moyen de protection de logiciels qui permet des 
fonctionnalites paralleles a son utilisation. Ces fonctionnalites auront pour consequence la baisse 
du cout des appareils selon la presente invention et la baisse du cout de protection d'un logiciel 

25 donne. La protection de logiciel selon la presente invention, devient par consequent un systeme 
interessant pour les petites et les grandes productions de logiciels. Les appareils selon la presente 
invention sont susceptibles d'une industrialisation par rapport au monde de l'industrie des logiciels 
et de leur protection. 

Bien entendu, r invention n'est pas limitee aux modes de realisation qui viennent d'etre decrits 
30 et representes. On pourra y apporter de nombreuses modifications de detail sans sortir pour cela du 
cadre de l'invention. 
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Revendication 

1. Systeme pour la protection simultanee de plusieurs logiciels provenant de differents 
concepteurs de logiciels contre le non respect des conditions d'utilisation fixees par ces 
concepteurs de logiciels, caracterises en ce qu'il comprend en combinaison : 

5 - . un lecteur. (LCL) comprenant au moins un peripherique de communication . (reseau, port 

E/S) creant une couche de communication superieure permettant Fechange de donnees 
avec les logiciels proteges, un microcontroleur programmable une seule fois (100) qui 
integre sur une seule entite electronique deux parties (130, 120) separees par une interface 
(106) 

10 un appareil portatif (CL) de type carte destine au stockage d'un grand nombre 

d'autori sat ions d'utilisation de logiciel protege comportant un module d'enregistrement 
amovible de forte capacite de stockage, et un microcontroleur (400) securise contre toutes 
intrusions non autorisees dans ses circuits internes. 

2. Systeme selon la revendication 1 caracterise en ce que la partie (130) du microcontroleur 
15 (100) comprend au moins un module de memoires non volatiles (111), un module de memoires 

volatiles (109), un port serie E/S (151), une horloge interne en temps reel (104) et un processeur 
maitre(CPUl). 

3. Systeme selon Tune quelconque des revendications precedentes caracterisee en ce que la 
partie (120) du microcontroleur (100) comprend au moins un module de memoires volatiles (110) 

20 et un processeur esclave (CPU2). 

4. Systeme selon l'une quelconque des revendications precedentes caracterisee en ce que le 
microcontroleur (100) securise physiquement et logiquement d'une part son espace memoire 
interne contre la lecture et/ou la modification non autorise, et d'autre part Fexecution de 
programmes au sein de la memoire (110) vis a vis de la possibility pour un programme donne, 

25 execute dans cet espace memoire d'extraire des donnees du microcontroleur (100) presentes avant 
1 'execution de ce programme. 

5. Systeme selon l'une quelconque des revendications precedentes caracterise en ce que le 
microcontroleur (400) comporte au moins un module de memoires OTPEPROM (407) ou 
equivalent, un module de memoires dynamiques DRAM (107) ou equivalent, et un processeur 

30 (CPU). 

6. Systeme selon Tune quelconque des revendications precedentes caracterise en ce que le 
lecteur comprend un recepteur hertzien pour permettre des operations d ! achat hors ligne de droits 
d'utilisation de logiciel protege, de mise a jour des microcontroleurs (100, 400), ou d'administration 
du lecteur (LCL) et du dispositif portatif (CL). 

35 7. Systemes selon Tune quelconque des revendications precedentes caracterise en ce que le 

lecteur comprend un peripherique de communication pour la connexion et un systeme central 
distant pour permettre des operations d'achat de droits d'utilisation de logiciel protege, de mise a 
jour des microcontroleur (100, 400), ou d'administration du lecteur (LCL) et du dispositif portatif 
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(CL). 

8. Systeme selon Tune quelconque des revendications precedentes caracterise en ce que le 
microcontroleur est securise contre toute attaque physique et/ou logique et memorise au moins une 
serie de codes et de cles numeriques, utilises pour realiser une transmission securisee d'information 

5 pour le transfert d'un droit d'utilisation de logiciel protege du dispositif portatif (CL) vers un autre 
lecteur (LCL) ou a d'autres dispositifs portatifs (CL). 

9. Systeme selon Tune quelconque des revendications precedentes caracterise en ce qu'il 
comprend en peripherique de sauvegarde externe securise contre les lecture et/ou les modifications 
non autorisees. 
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